iT邦幫忙

2025 iThome 鐵人賽

DAY 28
0
Security

我的30天資安攻之路防身修練:實戰×工具×AI全紀錄系列 第 28

【DAY28】事件回應流程與自動化防禦實作

  • 分享至 

  • xImage
  •  

在前面幾天架設好了監控與威脅整合系統後,今天重點是建立事件通報及回應機制,並透過簡易的自動防禦腳本來提升應對效率,藉此減少當資安事件發生時的人為延遲。
(之前有做過自動化,但感覺內容很不完整!應該會把那篇修改成其他資安資訊!)


一、建立標準事件回應流程(SOP)

  1. 定義事件分類

    • 高嚴重度:確認為惡意攻擊指標 (惡意IP連線、執行惡意程式等)
    • 中嚴重度:疑似異常行為 (不常見的登入時間、異常系統變更)
    • 低嚴重度:一般警示與系統例行事件
  2. 事件通報程序

    • 監控平台產生警報後,立即通知負責人(Email或即時通訊工具)
    • 初步分析事件相關日誌,評估事件影響範圍
    • 根據事件等級決定是否需要替換或隔離系統
  3. 回應步驟

    • 收集證據:截取Kibana事件報告與原始日誌
    • 隔離受影響設備或封鎖惡意IP
    • 通知相關部門並啟動後續調查流程

二、撰寫簡易自動封鎖惡意IP的Shell腳本

這個腳本可擷取Wazuh或Suricata警報中帶有惡意IP的記錄,自動添加防火牆規則進行封鎖。

#!/bin/bash

惡意IP清單檔案路徑

BLOCKLIST="/var/log/malicious_ips.txt"

讀取清單並封鎖IP

while IFS= read -r ip
do
echo "封鎖IP:$ip"
sudo iptables -I INPUT -s $ip -j DROP
done < "$BLOCKLIST"

  • 可以每日排程從警報系統匯出惡意IP至malicious_ips.txt後,執行此腳本達成自動防禦。

三、模擬異常事件驗證回應機制

  1. 在測試主機使用以下命令模擬SSH登入失敗嘗試

ssh invaliduser@localhost
多次執行引發異常登入警報。

  1. 利用curl模擬多次連線到惡意IP清單(前提是在Wazuh或Suricata中有設定Detection此類IP)

  2. 檢查Kibana監控儀表板是否即時顯示警報,並驗證自動封鎖腳本是否成功將惡意IP加入iptables。


透過建立清晰的事件回應SOP與輔助自動化腳本,單人藍隊能快速面對突發事件,提升偵測告警的實際防護價值!



上一篇
【DAY27】威脅情報(TI)整合與弱點掃描
下一篇
【DAY29】紅隊攻防演練與藍隊總結
系列文
我的30天資安攻之路防身修練:實戰×工具×AI全紀錄30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言