网络安全应急响应实战电子书

内 容 提 要

推荐序一

推荐序二

推荐序三

致 谢

前 言

资源与支持

第1章 网络安全应急响应概述

1.1 应急响应及网络安全应急响应

1.1.1 网络安全应急响应的含义

1.1.2 网络安全应急响应的作用

1.1.3 网络安全应急响应的相关法律法规与要求

1.2 网络安全应急响应面临的挑战与发展趋势

1.2.1 网络安全应急响应面临的挑战

1.2.2 网络安全应急响应技术向工具化、平台化发展

1.3 网络安全应急响应流程

1.4 常见网络安全应急响应场景

第2章 应急响应基础技术

2.1 日志分析技术

2.1.1 Windows日志分析

2.1.2 Linux日志分析

2.1.3 Web日志分析

2.2 流量分析技术

2.2.1 实时流量分析

2.2.2 回溯流量分析

2.2.3 Wireshark

2.2.4 tcpdump

2.2.5 典型案例分析

2.3 威胁情报分析技术

2.3.1 威胁情报的来源

2.3.2 威胁情报的使用

2.3.3 威胁情报平台的使用

2.4 溯源分析技术

2.4.1 整体溯源分析思路

2.4.2 溯源信息扩展

第3章 常见操作系统下的应急响应技术

3.1 Windows应急响应技术

3.1.1 日志分析

3.1.2 网络连接分析

3.1.3 异常进程分析

3.1.4 异常账户分析

3.1.5 流量分析

3.1.6 异常服务分析

3.1.7 任务计划分析

3.1.8 启动项分析

3.1.9 可疑目录及文件分析

3.2 Linux应急响应技术

3.2.1 日志分析

3.2.2 网络连接分析

3.2.3 异常进程分析

3.2.4 异常账户分析

3.2.5 计划任务分析

3.2.6 异常目录及文件分析

3.2.7 命令历史记录分析

3.2.8 自启动服务分析

3.2.9 流量分析

3.3 macOS应急响应技术

3.3.1 日志分析

3.3.2 异常账户分析

3.3.3 异常启动项分析

3.3.4 异常进程分析

3.3.5 异常文件分析

3.3.6 网络配置分析

第4章 应急响应高阶技术

4.1 内存取证技术

4.1.1 内存镜像提取

4.1.2 内存镜像分析

4.1.3 内存取证分析实战

4.2 样本分析技术

4.2.1 样本分析基础

4.2.2 情报检索

4.2.3 文件分析沙箱

4.2.4 人工样本分析

第5章 网络安全事件应急响应实战

5.1 DDoS攻击类应急响应实战

5.1.1 DDoS攻击主要类型

5.1.2 DDoS攻击现象

5.1.3 DDoS攻击应急响应案例

5.2 勒索病毒类应急响应实战

5.2.1 勒索病毒分类

5.2.2 勒索病毒现象

5.2.3 勒索病毒处置

5.2.4 攻击路径溯源

5.2.5 勒索病毒应急响应案例

5.3 钓鱼邮件类应急响应实战

5.3.1 钓鱼邮件主要类型

5.3.2 钓鱼邮件分析流程

5.3.3 钓鱼邮件应急响应案例

5.4 挖矿病毒类应急响应实战

5.4.1 挖矿病毒的发现与分析

5.4.2 挖矿病毒主要传播方式

5.4.3 挖矿病毒应急响应案例

5.5 Webshell攻击类应急响应实战

5.5.1 Webshell攻击分析思路

5.5.2 Webshell攻击排查步骤

5.5.3 Webshell攻击应急响应案例

5.6 网页篡改类应急响应实战

5.6.1 网页篡改分析思路

5.6.2 网页篡改排查流程

5.6.3 网页篡改应急响应案例

5.7 网站劫持类应急响应实战

5.7.1 网站劫持分析思路

5.7.2 网站劫持排查流程

5.7.3 网站劫持应急响应案例

5.8 数据泄露类应急响应实战

5.8.1 数据泄露分析思路

5.8.2 数据泄露排查流程

5.8.3 数据泄露应急响应案例

第6章 常见应用组件应急响应实战

6.1 中间件

6.1.1 IIS

6.1.2 NGINX

6.1.3 Apache

6.1.4 Tomcat

6.1.5 WebLogic

6.1.6 JBoss

6.2 邮件系统

6.2.1 Coremail

6.2.2 Exchange Server

6.3 OA系统

6.3.1 泛微OA系统

6.3.2 致远OA系统

6.4 数据库

6.4.1 MySQL

6.4.2 MSSQL Server

6.4.3 Oracle

6.5 其他常见应用组件

6.5.1 Redis

6.5.2 Conf luence

6.5.3 Log4j 2

6.5.4 Fastjson

6.5.5 Shiro

6.5.6 Struts 2

6.5.7 ThinkPHP

第7章 企业网络安全应急响应体系建设

7.1 获得高层领导支持

7.2 建设应急响应团队

7.3 制定应急响应预案

7.4 网络安全应急演练实施

7.5 网络安全持续监控和不断改进

7.6 不同行业企业应急响应体系建设的区别

结语

附录A 网络安全事件应急预案

A.1 总则

A.1.1 编制目的

A.1.2 适用范围

A.1.3 事件分级

A.1.4 工作原则

A.2 组织机构与职责

A.2.1 领导机构与职责

A.2.2 办事机构与职责

A.3 监测与预警

A.3.1 预警分级

A.3.2 安全监测

A.3.3 预警研判和发布

A.3.4 预警响应

A.3.5 预警解除

A.4 应急处置

A.4.1 初步处置

A.4.2 信息安全事件

A.4.3 应急响应

A.5 具体处置措施

A.5.1 有害程序事件

A.5.2 网络攻击事件

A.5.3 信息破坏事件

A.5.4 设备故障事件

A.5.5 灾害性事件

A.5.6 其他事件

A.5.7 应急结束

A.5.8 调查处理和总结评估

A.5.9 总结和报告

A.6 预防工作

A.6.1 日常管理

A.6.2 监测预警和通报

A.6.3 应急演练

A.6.4 重要保障

A.7 工作保障

A.7.1 技术支撑

A.7.2 专家队伍

A.7.3 资金保障

A.7.4 责任与奖惩

A.8 附则

附录B 网络安全应急演练方案

B.1 总则

B.1.1 应急演练定义

B.1.2 应急演练目标

B.1.3 应急演练原则

B.1.4 应急演练分类

B.1.5 应急演练规划

B.2 应急演练组织机构

B.2.1 组织单位

B.2.2 参演单位

B.3 应急演练流程

B.4 应急演练准备

B.4.1 制订演练计划

B.4.2 设计演练方案

B.4.3 演练动员与培训

B.4.4 应急演练保障

B.5 应急演练实施

B.5.1 系统准备

B.5.2 演练开始

B.5.3 演练执行

B.5.4 演练解说

B.5.5 演练记录

B.5.6 演练宣传报道

B.5.7 演练结束与终止

B.5.8 系统恢复

B.6 应急演练总结

B.6.1 演练评估

B.6.2 演练总结

B.6.3 文件归档与备案

B.6.4 考核与奖惩

B.7 演练成果运用