在攻防演练前需调优监测设备的告警规则。忽略僵尸、木马、蠕虫、C2远控类告警，视情况处理挖矿病毒类告警。重点关注web层面的攻击，如SQL注入、命令执行、文件上传等。特别关注高危CVE漏洞+攻击成功。单独设规则处理Webshell类告警，关注流量上下文、命令执行和响应体、持续访问webshell路径的频率。排查内存马，关注error.log和脚本扫描。研判漏洞是否存在、是否攻击成功，需考虑流量上下文、手工验证和攻击频率。应急溯源中，沟通和时效性至关重要，尽快出报告。