上周公司邮件服务器被黑,发了一堆钓鱼链接出去。IT小张一边重置密码、封IP,一边被老板催着交“情况说明”。他随手写了两段话发过去,结果又被叫去开了半小时会——因为没说清攻击时间、影响范围和后续动作。
一份靠谱的响应报告,不是写给领导看的作文
它本质是一份“数字现场记录”,给技术同事复盘用,给法务留证据用,也给下次防守攒经验。不求文采,但求三点:准、快、全。
第一,时间线必须掐到分钟
别写“昨天下午发现异常”,要写:
2024-06-12 14:27:防火墙日志出现大量SSH爆破尝试(源IP段:192.168.33.0/24)
2024-06-12 15:03:运维人员登录服务器确认sshd进程异常占用CPU达98%
2024-06-12 15:11:隔离该服务器,断开网络连接第二,受影响资产得列具体名字
“部分内网系统”这种说法等于没说。应该像这样:
- 邮件服务器 mail-prod-03(IP:10.2.1.15,CentOS 7.9)
- 关联数据库 db-mail-backup(IP:10.2.1.16,MySQL 5.7.32)
- 未受影响:OA系统、财务ERP、员工打卡终端第三,攻击手法写实不写虚
别一上来就喊“高级持续性威胁”。先看证据:是弱口令爆破?WebShell上传?还是钓鱼邮件带的恶意宏?比如:
攻击入口:员工点击邮件中伪造的「报销单.xls」附件(SHA256:a7f...e2c)
执行行为:Excel宏调用powershell下载并运行loader.ps1(已提取IOC)
横向移动:通过域用户凭证访问了\fileserver\hr-data共享目录第四,临时措施要可验证
“已加固系统”太模糊。改成:
✓ 禁用账户:user_zhang、svc_mailbackup(AD控制台截图见附件1)
✓ 修复配置:关闭SSH的PasswordAuthentication,仅允许密钥登录(/etc/ssh/sshd_config第52行)
✓ 清理痕迹:删除/var/tmp/.cache_update.sh 和 /usr/bin/.sysmon_loader第五,留个尾巴:下一步不是“加强意识”,而是具体动作
比如:
- 6月15日前完成所有邮箱账户MFA启用(责任人:李工)
- 6月18日对HR部门开展钓鱼邮件模拟测试(使用新构造的3个模板)
- 同步更新SOAR剧本:检测到Excel宏调用powershell即自动隔离主机真正的响应报告,从来不是事故结束的句号,而是下一次防守的起点。