免責聲明

本文為 學習筆記與模擬作業情境，目的在把 Google Cybersecurity Certificate（第一單元）教的概念，和近期公開的資安事件做對照，幫助理解流程與實務操作。資料來源為公開新聞與公開威脅情報，不代表任何組織之完整內部報告或官方調查結果。僅供學習與筆記參考。

一、先根據單元一（Foundations of Cybersecurity）重點說明：資安工程師／分析師的核心能量

1. 職務定位與核心技能
   Google Cybersecurity Certificate 在第一單元會介紹 entry-level cybersecurity analyst／security engineer 該具備的核心能力：偵測（log / SIEM）、基本取證（日誌與端點資料）、以及把技術問題翻成管理層能理解的報告與建議。這些內容是後續實務流程（從警報到回報）的基礎。(Coursera)

2. 常用概念：CIA 三元組
   在做事件評估時，常用 CIA（Confidentiality 機密性、Integrity 完整性、Availability 可用性）來快速判斷事件的業務影響（例如：資料是否外洩 = C；檔案是否被竄改 = I；系統是否無法服務 = A）。課程會教如何用這個框架去定位重點，讓技術報告更有條理。(Coursera)

3. 流程化處理：準備 → 偵測/分析 → 遏止/根除 → 復原 → 檢討
   事件回應（Incident Response）應以標準流程來執行，NIST 的事件回應建議提供了實務上可遵循的步驟與注意事項，強調證據保全、分級回應與事後改善。把這個流程內化，對值班與突發應變特別重要。(NIST CSRC)

4. 工具與態度並重
   課程會示範和介紹的工具包括：SIEM、IDS/IPS、EDR、Linux 指令、基本 SQL 查詢、以及如何把日誌與威脅情報（Threat Intel）連結起來。更重要的是養成「記錄／可複現／可交接」的工作習慣：值班接警、事件卡（ticket）、時間線、輸出報告都要清楚。(Google 成長)

二、模擬作業情境（以 SharePoint 零時差漏洞 CVE-2025-53770 / ToolShell 為例）

背景摘要（來源綜整）：今年年中發現的 SharePoint 零時差漏洞（CVE-2025-53770／53771，俗稱 ToolShell）被觀測到有公開利用與積極掃描/攻擊行為。微軟發布緊急安全更新與緩解建議，資安業者亦發出相應狀況分析。(msrc.microsoft.com)

下面把「從警報到回報」流程一步步模擬出來，並在每個步驟標示要產出的物件（輸出）、會用到的工具與課程對應點。

流程總覽

1) 警報觸發（Detection）

• 情境觸發：SIEM/IDS 偵測到對 SharePoint 特定頁面（例如 ToolPane.aspx、ViewState）送出異常或可疑的 HTTP POST，或 EDR 告警顯示伺服器上有非預期的壓縮或大量 I/O。公開研究報告顯示這類行為和 ToolShell 利用有關，並曾被觀察到在 7 月有實際利用事件。(Unit 42)
• 要做的事（快速動作）：值班先把警報記錄到事件系統、標註優先度、截取相關日誌片段（IIS/Proxy/EDR），並通知 SOC/CSIRT。
• 輸出：事件卡（初始告警摘要 + 相關 IOC 列表）。
• 工具：SIEM、IDS、Proxy/Load-balancer 日誌、EDR。

2) 值班確認 / 排除誤報（Triage）

• 任務：把掃描／探測流量和真正利用區分開來（例如只是掃描 HTTP header 的大量探測 vs. 有 payload 的 ViewState 操作）。
• 輸出：初步判定（誤報 / 需升級處理 / 低風險），以及列出要保留的證據清單（log、PCAP、端點 snapshot）。
• 課程對應：第一單元強調要能分辨告警與誤報、以及如何建立條例化的優先順序。(Coursera)

3) 初步調查（Investigation - 初步）

• 任務：收集受影響伺服器（IIS / SharePoint 日誌）、比對外部威脅情報（CVE／IOC）、檢查是否有已知 exploit signature。CISA、微軟、資安廠商都有公開緩解與 IOC 供比對。(CISA)
• 輸出：日誌摘錄、匹配到的 IOC 清單、受影響伺服器清單與初步風險評估（是否有疑似 RCE、是否有檔案外傳跡象）。
• 工具：日誌查詢（grep / Splunk / ELK）、Threat Intel 平台、簡短端點掃描。

4) 深入分析（Investigation - 深入）

• 任務：端點取證、還原封包、檢查是否有 lateral movement（橫向移動）、查出是否有憑證竊取或後門存在。SANS 與業界建議把受影響主機視為可能已被入侵的狀態來處理（treat as compromise）。(sans.org)
• 輸出：完整事件時間線（Who / When / How）、受影響帳號與資料清單、是否需要通知法務/資深管理。
• 工具：EDR（端點記錄）、PCAP / Wireshark、檔案 hash 比對、AD / 登入日誌分析。

5) 遏止與套用安全更新（Containment / Mitigation）

• 任務：快速遏止外部利用與資料外洩：隔離受影響主機、封鎖攻擊來源 IP / 可疑外聯、關閉對外暴露的 SharePoint endpoint（如果可行），同時立即套用官方的安全更新或緩解設定（Microsoft 已發布緊急更新與指引）。若暫時無法立刻套用更新，則應採取緩解措施（例如啟用 AMSI、輪替 MachineKey、限制對外存取）。(msrc.microsoft.com)
• 輸出：隔離與封鎖紀錄、更新/緩解清單、短期防護規則（WAF、proxy）。
• 工具：更新管理系統（部署安全更新）、防火牆/WAF、EDR 隔離功能、AMSI 設定。

6) 根除與復原（Eradication & Recovery）

• 任務：確認後門或惡意 artefact 是否已清除；若發現資料被竊或系統被植入後門，依流程用不可變備份還原或重建系統，並對重要憑證做輪替（keys／MachineKey／API token）。同時以完整性校驗確認恢復後系統未被植入。SANS 與其他研究提醒：即使套用更新，若攻擊者先前已入侵，仍需進行威脅獵捕。(sans.org)
• 輸出：還原驗證清單、完整性報告、系統上線報告（含 RTO / RPO 評估）。
• 工具：備份系統、完整性驗證工具（hash / sig）、EDR 回溯工具。

7) 回報與事後改善（Reporting & Lessons Learned）

• 任務：撰寫 IR 報告（事件經過、影響範圍、採取行動）、管理層摘要、與供應鏈／客戶溝通的建議文字（若有必要）。同時把此次教訓回饋到偵測規則（SIEM）、程式碼與部署流程（CI/CD）、供應商稽核清單等。NIST 與新版事件回應建議都強調「事後檢討與流程更新」的重要性。(NIST CSRC)
• 輸出：正式事件報告、改進計畫、更新後的 SOP 與偵測規則清單。
• 工具：報告範本、KPI 指標、內部通報與溝通管道（法務、PR、供應鏈窗口）。

三、快速檢核表（當下可馬上用的 7 項清單）

1. 是否有立即安裝微軟釋出的安全更新？（或已套用廠商推薦的緩解）？(msrc.microsoft.com)
2. 是否把受影響主機暫時隔離並搜集完整日誌與端點快照？（保全證據）
3. 是否比對外部 IOC / 威脅情報（CISA / MSDN / Trend Micro 等）？(CISA)
4. 是否封鎖可疑外聯、並在 WAF/Proxy 層面加上臨時規則？
5. 是否輪替關鍵憑證（MachineKey、APP keys）與加強 MFA？(TechRadar)
6. 是否從不可變備份還原並驗證完整性？
7. 是否在事件結案後把偵測規則、SOP 與教育訓練納入改善清單？(NIST CSRC)

四、把課程內容帶回練習（怎麼練比較實際）

• 用 Google 課程學到的基本技能（Linux 日誌操作、簡單 SQL、SIEM 查詢）來做「假想演練」：把公開 IOC 對內網日誌跑一遍。(Coursera)
• 重建時間線的能力：練習把多個來源（IIS 日誌、EDR、Proxy）合併成一條可讀的「Who/When/What」。
• 練習撰寫一頁式管理摘要（Business Impact + Recommended Actions），把技術語言翻成可決策的語句。

參考（重點資料）

• Google Cybersecurity Certificate — Foundations of Cybersecurity（課程說明）。(Coursera)
• NIST SP 800-61 Rev.3（Incident Response Recommendations）。(NIST CSRC)
• Microsoft Security Response Center — 客戶指引：CVE-2025-53770（ToolShell）安全更新指引。(msrc.microsoft.com)
• Trend Micro Research — CVE-2025-53770 / 53771 分析與防護建議。(Trend Micro)
• CISA — Exploitation Guidance & Malware Analysis Report（SharePoint vulnerabilities）。(CISA)

小結（要帶走的幾句話）

• 第一單元的學習不只是認識名詞或工具，而是建立「流程化處理事件」的思維：接警、判斷、記錄、分析、遏止、復原、回饋。(Coursera)
• 在遇到像 SharePoint ToolShell 這類「零時差 + 已被利用」事件時，速度（套用安全更新／隔離）與證據保全（完整日誌、端點快照）同樣重要；同時要把事後改善變成常態。(msrc.microsoft.com)