应用场景

事件确认

安全工程师与客户直接联系对接,通过与客户交流了解事件具体详情,并记录问题情况。根据客户描述现象与系统实际现象,对事件进行确认,定性;

事件抑制与分析

接到事件响应申请后, 安全工程师会根据情况进行远程或现场的响应。安全工程师会根据客户记录的安全事件描述,结合前期进行过的漏洞检测与分析结果、实时监控与审计结果等已有客户系统和网络状况,进行分析和判断。

事件处理

在对安全事件进行原因分析之后,安全工程师将进一步对安全事件进行处理,具体工作包括但不限于:

  • 清理系统中存在木马、病毒、恶意程序;
  • 清洗应用系统中存在的木马、webshell后门、挂马页面;
  • 恢复被黑客篡改的系统配置,删除黑客创建的后门账号;
  • 删除异常系统服务、清理异常进程;

事件分析报告

事件处理完毕后,根据具体情况编写事件应急响应报告,文档中阐述整个安全突发事件的现象、处理过程,处理结果、事件原因分析,并给出相应的安全建议。