华为云首页用户手册

安全云脑 SECMASTER-剧本介绍:事件响应

时间：2024-09-06 15:55:05

安全云脑 SECMASTER 攻击链路分析告警通知

事件响应

获取、保护、记录证据。
1. 根据您华为云环境的配置，通过主机安全服务（HSS）以及 Web应用防火墙（WAF）来源检测相关类型的告警。
2. 可通过SSH等方法访问云服务器，查看实例状态和监控等信息，查看是否有异常。或者通过其他方式收到的告警信息。
3. 一旦确认攻击是事件，需要评估受影响范围、攻击机器和受影响业务及数据信息。
4. 通过安全云脑 “转事件”能力，持续跟踪对应事件，记录所有涉及事件信息。详细操作请参见告警转事件。
5. 同时可通过日志信息溯源，通过“安全分析”能力审核所有相关日志信息，在“事件管理”中记录存档，便于后续跟踪运营。
控制事件。
1. 通过告警和日志信息，确定攻击类型、影响主机和业务进程信息。
2. 通过隔离查杀，策略阻断等脚本对涉及进程软件进行进程查杀、软件隔离等操作，降低后续影响。
3. 排查感染范围，有感染风险都需要进行排查，一旦有沦陷及时处理控制。
4. 同时也可使用其他剧本流程进行风险控制，比如“主机隔离”，通过安全组策略，从访问控制方面隔离受感染机器，隔离网络传播风险。
消除事件。
1. 评估受影响机器是否需要加固恢复。如果已经沦陷，需要通过溯源结果加固恢复机器。如安全凭证泄露造成的攻击，则删除任何未经授权的 IAM 用户、角色和策略，并吊销凭据等操作进行主机加固。
2. 对受感染机器可以进行风险排查，排查是否有漏洞、过时的软件、未修补的漏洞等，这些都可能会造成后续机器的持续沦陷，可通过“漏洞管理”排查和修复处理对应机器漏洞；排查是否有风险配置，可以通过“基线检查”排查机器配置，针对有风险配置进行及时处理修复。
3. 评估影响范围，如果已经有其他机器沦陷，需要同步处理所有影响主机。
从事故中恢复。
1. 确定从备份执行的所有还原操作的还原点。
2. 查看备份策略，以确定是否可以恢复所有对象和文件，这取决于在资源上应用的生命周期策略。
3. 使用取证方法确认数据在恢复之前是安全的，然后从备份中恢复数据，或者恢复到E CS 实例的早期快照。
4. 如果您已成功使用任何开源解密工具恢复数据，请从实例中删除该数据，并执行必要的分析以确认数据是安全的。然后，恢复实例，终止或隔离实例并创建新的实例，并将数据还原至新实例中。
5. 如果从备份恢复或解密数据都不可行，请评估在新环境中重新开始的可能性。
事故后活动。
1. 通过整个告警处理流程中分析告警发生详细信息，持续运营优化模型，提升模型告警准确率。如判断是业务相关的，无风险的告警可以直接通过模型进行筛选。
2. 通过溯源告警发生，更好的了解事件的整个流程，持续优化资产防护策略，降低资源风险，收缩攻击面。
3. 通过告警事件处理，结合自己业务实际场景，优化自动化处理剧本流程，例如，通过分析之后告警准确率提升可替换人工审核策略，以全自动化替代，提升处理效率，更快速的对风险进行处理。
4. 通过风险分析，结合攻击链路告警分析，进行风险前置，在未发生事件之前进行风险控制处理。