IOC告警

IOC告警事件大多是由內(nèi)部安全設(shè)備發(fā)現(xiàn)，通常都是由于內(nèi)網(wǎng)主機(jī)非法請(qǐng)求了高危的威脅情報(bào)地址。

這類(lèi)事件首先應(yīng)該對(duì)IOC告警進(jìn)行確認(rèn)，在微步上查詢對(duì)應(yīng)IoC。

看到以上結(jié)果，基本確認(rèn)內(nèi)網(wǎng)是存在WannaCry蠕蟲(chóng)病毒，有NTA的情況下基本能快速定位所有感染主機(jī)，處理方案參考上篇文章的勒索病毒處理流程。

如為其他告警但是確認(rèn)為惡意安全事件的，也可以通過(guò)搜索引擎查詢對(duì)應(yīng)的分析文章，根據(jù)病毒行為作出對(duì)應(yīng)的修復(fù)和后續(xù)的防護(hù)措施。

特殊情況下，如果IoC告警大概率確認(rèn)為惡意，但是也無(wú)法找到相關(guān)文章，需要人工進(jìn)行分析。

windows下通過(guò)netstat -ano命令來(lái)查看請(qǐng)求對(duì)應(yīng)的IoC的PID，然后使用tasklist /svc|findstr “PID”來(lái)定位到對(duì)應(yīng)進(jìn)程。

linux下操作思路與以上類(lèi)似，不多贅述。另外如進(jìn)程請(qǐng)求變化太快不好定位，推薦個(gè)大佬寫(xiě)的小工具可以試試。