日志分析的步骤：

        判断是否为攻击行为

                不是：不用处理

                是：判断攻击是否成功或者失败

                        攻击失败：判断IP地址是否为恶意地址，可以让防火墙过滤IP地址

                        攻击成功：做应急处置和溯源分析

                                应急处置：网络下线和系统下线

                                溯源分析：攻击路径分析（包含上机处理）

                                                漏洞修复，恢复上线，总结

可以参考思路导图：

        

应急响应流程：

        准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段

常见的日志分析：

        Web攻击日志分析：

        大部分情况利用项目现场的安全设备，如天眼、IPS、WAF、NGFW等设备的日志，输入被攻击的设备IP地址，查找相关的日志信息，通过日志分析找出可能存在的问题、可能的攻击路径。

        必须掌握的日志：

        安全设备的告警日志，要求掌握查看系统的日志，掌握Web中间件的日志

上机处理流程：

        如排查思路

                1、检查系统账号安全

                        1）检查是否有弱口令，远程端口是否开放

                        2）查看是否存在可以账号、新增账号

                        3）查看服务器是否存在影藏账号、克隆账号

                        4）结合日志查看管理员登录是否异常

                2、检查异常端口、进程

                        1）检查端口连接情况，是否有远程连接、可以连接

                        2）检查有没有可以进程及其子进程

                3、检查启动项、计划任务、服务

                        1）检查服务器是否有异常启动项

                        2）检查是否有可可疑的计划任务

                        3）检查是否有可疑的服务自启动

                4、检查系统相关信息

                        1）检查系统版本及补丁信息

                        2）检查可以目录及文件

                5、病毒后门自动化查杀

                        1）病毒查杀

                        2）webshe11查杀

                6、日志分析

                        1）系统日志

                        2）web访问日志

                 7、大致需要的工具：

                         1）病毒分析：火绒剑、PCHunter

                         2）病毒查杀：火绒、卡巴斯基

                         3）病毒动态：国家计算机病毒应急处理中心、微步在线、360情报中心

                                       、webshe11查杀（D盾、河马、深信服webshe11检测工具、手动排查）

攻击路径溯源：

1）通过安全设备找对应的告警日志分析

2）上机排查处理查找出蛛丝马迹

3）通过漏洞扫描设备进行扫描

攻击者溯源：

1）通过安全设备告警日志查找攻击者IP、设备信息

2）通过IP定位攻击者

3）通过遗留文件，查找对应的MD5值、ID值， 到情报平台进行分析

4）利用蜜罐进行反侦察

以上是总结学习网络安全—学习溯源和日志分析的思路。