iT邦幫忙

2022 iThome 鐵人賽
DAY 8
0
Security

none系列 第 8

1-8 啟動調查

14th鐵人賽
470 瀏覽

  • 分享至 

  • xImage
    •  

情境

集合相關人員,開始現狀報告

你判定該事件為L1,為什麼?主管表示出不同意

只是網站被駭,我們切換備站後就沒事了...

該網站有存放一些資料,依據資料機密等級可能需升級至L2,網站所有者回覆

受駭的網站有做快照,要還原嗎

等等我們需要保留證據,有備站在,可以等鑑識人員採證完後再做處理

服務可能沒有完全復原,請在跟一線IT同仁同步狀況

開會完成現狀報告後,開始分工做事件處理

說明

  • 事件嚴重等級

    • 依照法令法規及公司規定,嚴重的話可能會啟動BCP(Business Continuity Planning)

  • 收集資訊

    • 主機資訊
      • 除了勒索事件,建議不要斷電關機,只需斷掉網路,後續才能做記憶體取證,避免破壞現場
    • 資料的時間 (需要確認是同一格式,收集到的Log有校時)
    • 事件的類型
      • 惡意程式、網路釣魚、帳密爆破...
    • 受影響資源的類型
    • 如何檢測事件
      • 防毒、IDS、用戶通報..

REF

https://samsclass.info/152/lec16/ch4-5.pdf


上一篇
1-7 調查 - 使用Splunk實作 3
下一篇
1-9 使用Splunk實作 4-1
系列文
none36
  1. 32
    3-1 DFIR - Velociraptor
  2. 33
    3-2 DFIR - Velociraptor-2
  3. 34
    3-3 DFIR - Velociraptor-3
  4. 35
    3-4 Investigating Windows Systems
  5. 36
    3-5 Investigating Windows Systems-2
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22198
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙