DEV Community
·
TryHackMe 事件响应手册
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
TryHackMe推出了一个名为“Servidae: Log Analysis in ELK”的新房间,重点介绍了事件响应流程和事件响应Playbook之间的区别,使用了NIST和SANS框架。通过使用虚拟机、VirusTotal和理论知识回答7个问题来进行实践。文章总结指出,该房间提供了事件响应流程和Playbook的清晰解释和示例。
🎯
关键要点
- TryHackMe推出了名为“Servidae: Log Analysis in ELK”的新房间,重点介绍事件响应流程与事件响应Playbook之间的区别。
- 事件响应Playbook定义了针对不同类型警报的详细步骤,包括网络钓鱼、恶意软件、账户泄露等。
- 房间聚焦于NIST和SANS事件响应框架,NIST框架强调准备和规划,而SANS框架提供更详细的技术实施指导。
- 实践部分包含7个问题,答案可以通过虚拟机、VirusTotal和理论知识获得。
- 使用Kibana Query Language (KQL)过滤数据,检查与进程相关的哈希值,并分析父进程。
- 如果发现真正的安全事件,需要将其升级到L2进行处理。
- 该房间提供了事件响应流程和Playbook的清晰解释、示例和实践,易于理解。
🏷️
标签
➡️
