蓝队初级防护总结

一. 设备误报如何处理？ 答：来自外网的误报说明安全设备需要进行策略升级，不需要处置。如果是来自内网的误报可以和负责人协商一下看能不能解决，有必要的话添加白名单处理。二. 如何区分扫描流量和手工流量？答：1.扫描流量数据量大，请求流量有规律可循且频率较高，手工流量请求少，间隔略长2.使用工具扫描的流量一般在数据包中有相关特征信息，比如说通过wireshark网络封包分析工具对流量进行一个具体的排查分析，比如通过http  contains  "xxx"来查找数据包中的关键字。比如常用的漏洞扫描工具AWVS，Nessus以及APPscan在请求的URL，Headers, Body三项里随机包含了能代表自己的特征信息。三. 网站被上传webshell如何处理？答：1.首先关闭网站，下线服务。有必要的话将服务器断网隔离。2.手工结合工具进行检测。工具方面比如使用D盾webshellkill， ………………………………