发现异常,第一时间做什么
公司内网突然大面积断网,财务部电脑弹出勒索提示,服务器CPU占用飙到100%——这些都不是普通故障,而是需要立刻动手的网络安全事件。这时候没人等你翻手册,必须靠提前准备和快速判断。
建立基础响应环境
平时就得在几台运维机上预装好应急工具包,别等到出事才去下载。比如Sysinternals Suite、Wireshark、Tcpdump这些,打包成一个U盘镜像,关键时刻插上就能用。尤其是内网不能上网时,本地工具有多救命不用多说。
关键软件快速部署示例
以部署轻量级日志收集代理为例,Linux服务器上可以用一键脚本快速拉起监控:
#!/bin/bash
wget -q https://mirror.example.com/agents/soc-agent.sh -O /tmp/agent.sh
chmod +x /tmp/agent.sh
/tmp/agent.sh --server logs.company-soc.local --token <your_token_here>这个脚本要在所有核心服务器预先测试通过,遇到攻击时30秒内批量执行,日志马上就能集中传送到分析平台。
切断威胁传播路径
发现某台主机中木马,第一反应不是杀毒,而是拔网线或关防火墙端口。很多蠕虫靠445、135这些端口横向移动,交换机上设个ACL规则比你在终端折腾半小时还管用。
举个例子,某次病毒通过SMB传播,我们直接在核心交换机执行:
access-list 101 deny tcp any any eq 445
access-list 101 permit ip any any
apply access-group 101 in interface vlan10几分钟内阻断传播,再逐台清理,效率高得多。
利用自动化脚本缩短响应时间
手工排查几十台机器太慢,写个小脚本跑一遍更靠谱。比如Windows环境下用PowerShell批量检查可疑进程:
Get-WmiObject Win32_Process | Where-Object {
$_.Name -match 'crypt' -or
$_.CommandLine -like '*powershell*encoded*' }
这类脚本平时存在加密U盘里,出事时拷到域控服务器直接运行,结果导出CSV,重点机器优先处理。
日志别只盯着系统本身
路由器、防火墙、DNS服务器的日志往往比主机日志更早暴露问题。比如内网突然大量解析恶意域名,DNS日志里一眼就能看出来。建议用rsyslog把关键设备日志统一收进ELK,查询起来方便。
安装配置可以这样写进自动化流程:
echo "*.* @@log-collector.internal:514" >> /etc/rsyslog.conf
systemctl restart rsyslog每台新设备上线顺手加上这几句,等于提前埋好线索追踪能力。
演练比文档更重要
每季度搞一次模拟攻击,比如偷偷在测试机放个Meterpreter,看运维能不能在15分钟内发现并隔离。真出事时,肌肉记忆比流程文档管用。有家公司每月搞“黑周五”,谁没及时响应就在群里发红包,大家反而记得牢。