一、应急响应流程

应急响应是安全事件发生时的标准化处置流程，核心目标是 最小化损失、恢复业务、溯源攻击。以下是标准流程及关键步骤：

1. 准备阶段（Preparation）

• 建立预案：制定《应急响应手册》，明确角色分工（如 IR 团队、IT 运维、法务）。预先配置应急工具包（如 Live USB、取证镜像）。
• 资产测绘：使用 nmap 扫描资产清单：

nmap -sV -p- -oN assets.txt 192.168.1.0/24

• 建立 CMDB（配置管理数据库）记录 IP、服务、责任人。

2. 检测与分析（Detection & Analysis）

• 识别异常：监控工具告警（如 Prometheus、ELK 告警规则）。手动检查日志中的高频错误（如 Failed login、SQL Injection）。
• 确认攻击类型：网络层面：使用 tcpdump 抓包分析异常流量：

tcpdump -i eth0 port 80 -w http_traffic.pcap

• 系统层面：检查 ps 进程、netstat 连接：

ps aux | grep -v grep | grep suspicious_process
netstat -antp | grep ESTABLISHED

• 确定影响范围：使用 grep 过滤日志定位受影响主机：

grep "Unauthorized access" /var/log/auth.log

3. 遏制（Containment）

• 隔离受害主机：下线服务器或断开网络：

iptables -A INPUT -s <ATTACKER_IP> -j DROP

• 阻断恶意流量：通过防火墙封禁攻击源 IP：

ufw deny from 123.45.67.89

4. 根除（Eradication）

• 清除恶意文件：使用 find 命令定位可疑文件（如最近创建的可执行文件）：

find / -type f -mtime -1 -executable -exec ls -l {} \;

• 修复漏洞：根据攻击特征（如 CVE-2023-XYZ）升级软件：

apt update && apt upgrade <package-name>

5. 恢复（Recovery）

• 数据恢复：从备份恢复文件（如使用 rsync 同步备份数据）：

rsync -avz backup_server:/backup/data/ /var/www/html/

• 服务上线：逐步恢复业务系统，验证功能正常。

6. 总结与改进（Lessons Learned）

• 编写报告：记录事件时间线、攻击手法、修复措施（Markdown 格式）。
• 改进防御：更新防火墙规则、加固服务器配置、加强员工安全意识培训。

二、日志分析技巧

日志是安全事件溯源的核心证据，以下是高效分析方法与工具：

1. 日志类型与关键字段

• 系统日志（如 /var/log/syslog）：关键字段：timestamp、hostname、facility（如 auth、kernel）、message。
• Web 服务器日志（如 Nginx 的 access.log）：关键字段：remote_addr（IP）、request_method（GET/POST）、status（HTTP 状态码）、user_agent。
• 安全日志（如 auth.log）：关键字段：Failed password、Accepted publickey、session opened。

2. 分析方法

(1) 关键词搜索

• 使用 grep 快速定位敏感事件：

# 查找包含 "ERROR" 的日志
grep "ERROR" /var/log/nginx/error.log

# 查找异常登录尝试
grep "Failed password" /var/log/auth.log

(2) 时间线分析

• 按时间排序日志，还原事件发展：

# 按时间倒序查看日志
tac /var/log/syslog | less

# 统计每小时请求次数（Web 日志）
awk '{print $4}' access.log | cut -d: -f2 | sort | uniq -c

(3) 关联分析

• 结合多源日志定位攻击链：

# 同时分析系统日志和 Web 日志
journalctl -u nginx | grep "404" | awk '{print $1,$2,$3}' > nginx_404_times.txt
grep "404" access.log | grep -f nginx_404_times.txt

3. 工具推荐

• ELK Stack（Elasticsearch + Logstash + Kibana）：集中日志管理，支持可视化分析（如仪表盘、告警规则）。
• Splunk：商业日志分析平台，提供强大的搜索和机器学习功能。
• GoAccess：命令行日志分析工具，实时生成 HTML 报告：

goaccess access.log -o report.html --real-time-html

• Cloud SIEM（如 Azure Sentinel、AWS Security Hub）：云原生日志分析，集成威胁情报和自动化响应。

4. 实战案例：检测 SQL 注入攻击

1. 日志筛选：

# 从 Web 日志中过滤 SQL 关键字
awk '{print $7}' access.log | grep -i "union\|select\|sleep" > suspicious_requests.txt

2. 关联 IP 行为：

# 统计可疑 IP 的访问次数
awk '{print $1}' suspicious_requests.txt | sort | uniq -c | sort -nr

3. 威胁评分：高频 sqlmap User-Agent 或异常参数标记为高危。

三、工具链整合

四、总结

• 应急响应：遵循 PDCA（Plan-Do-Check-Act）循环，快速决策是关键。
• 日志分析：自动化工具（如 ELK）+ 人工分析结合，提升检测效率。
• 防御闭环：通过日志分析发现漏洞，反馈到安全加固流程（如 WAF 规则更新）。

通过以上方法，您可以构建从 检测→响应→恢复→预防 的完整安全闭环！