前言

昨天跟大家分享了常用的實務分析工具後，今天將會針對「資安人員發現異常問題時，會怎麼去做處理！有哪些處理方式等等」。那廢話不多說，我們就開始吧～

1️⃣ 發現異常的契機？

• 常見的觸發點
  • 登入失敗過多（有暴力破解跡象！💀）
  • 系統資源異常（CPU、RAM、網路流量飆高）
  • 應用程式異常行為（錯誤頻繁、憑證錯誤）
• 工具回顧：Log + SIEM（如 Splunk、ELK、Graylog）

2️⃣ 資安人員的處理流程

可以用 事件響應流程 (Incident Response Lifecycle) 來包裝，讓讀者有結構化理解：

1. 偵測 (Detection)
   • 從 Log 或監控系統發現異常訊號
   • 初步判斷事件是否真實（避免誤報的情況）
2. 分析 (Analysis)
   • 深入檢視 Log
   • 與威脅情資 (Threat Intelligence) 比對（IP 是否為惡意來源？）
   • 使用 grep/awk 過濾可疑行為樣式
3. 遏制 (Containment)
   • 短期：先阻止惡意行為（封鎖 IP、防火牆規則）
   • 長期：檢討帳號政策、修補系統弱點
4. 根除 (Eradication)
   • 移除惡意程式、修正配置錯誤
   • 確保相同漏洞不再存在
5. 復原 (Recovery)
   • 恢復正常服務
   • 持續監控以避免再次被入侵
6. 經驗回饋 (Lessons Learned)
   • 更新防禦系統以及規則
   • 分享知識給相關團隊、人員

3️⃣ 小範例（實作切入點：從偵測到防禦）

假設我們在 Log 中發現短時間內同一個 IP 嘗試多次登入失敗：

log show --predicate 'process == "loginwindow" && composedMessage CONTAINS "failed"' --last 30m | grep "192.168.1.50"

如果結果顯示該 IP 在 30 分鐘內有 20 次登入失敗，這很可能就是暴力破解攻擊。

🔹 Containment（遏制：立即行動）

這時候資安人員會先 阻止攻擊繼續發生，最常見的做法就是防火牆：

• 概念：防火牆就像大門警衛，決定哪些人能進、哪些人要擋在外面
• 範例（Linux iptables）：

sudo iptables -A INPUT -s 192.168.1.50 -j DROP

這一行指令會直接擋掉來自 192.168.1.50 的所有連線。

• 另一個範例（macOS pf.conf）：

block drop from 192.168.1.50 to any

加到設定檔後 reload，就能封鎖這個來源。

🔹 Eradication（根除：長期修復）

封鎖 IP 只是暫時手段，還需要進一步行動：

• 檢查該帳號是否被試圖暴力破解
• 強化密碼政策（密碼長度 / 複雜度）
• 開啟多因子驗證 (MFA)
• 檢查系統是否已被惡意程式滲透

這樣才不會只是「擋住一個 IP」，卻讓攻擊者換個 IP 就繼續打。

今天我們用「防火牆」示範了資安人員在發現異常後的第一步行動。下一篇我會帶大家更深入理解 防火牆的概念與建置方式，從基礎到實務配置，看看它怎麼在企業資安架構中發揮關鍵作用。

我們明天見！