收集安全事件信息,向提出安全事件的人索要攻击证据(病毒样本、流量监控设备导出的流量包)
收集被攻击主机的网络连接和进程列表,综合确认本次安全事件是真的攻击事件还是误报。
判断类型:木马?挖矿?横向渗透?DOS攻击?
日志分析(系统和Web)、样本分析、流量分析
清理处置:排查并清除木马后门、修复漏洞、恢复业务系统正常运行
梳理出攻击时间线,输出完整的应急响应安全事件报告
