天眼处置方案

传感器上出现SQL注入告警，怎么应对？

1. 验证此条SQL注入告警是否真的存在SQL注入漏洞。
2. 触发告警的行为是客户自身还是攻击者行为（通过请求包数据判断）。
3. 若为自身业务问题，则将漏洞点相关整合成报告反馈客户。
4. 若为攻击者行为，则需要进行进一步分析，查看分析平台攻击IP除了SQL注入以外是否存在其他攻击行为，攻击结果如何。
5. 将发现时间及攻击行为反馈给护网客户。

传感器上出现木马文件上传告警，怎么应对？

1. 验证此条文件上传告警是否真的上传木马成功（成功的话，直接就可以出报告了）。
2. 失败的话，判断攻击者是手工还是扫描工具批量行为。
3. 进入分析平台进一步分析，查看分析平台攻击IP除了文件上传以为是否存在其他攻击行为，攻击结果如何。
4. 将发现时间及攻击行为反馈给护网客户。

传感器上出现webshell木马使用告警告警，怎么应对？

1. 验证此条告警是否真的成功（成功的话，直接就可以出报告了）。
2. 失败的话，判断攻击者是手工还是扫描工具批量行为。
3. 进入分析平台进一步分析，查看分析平台攻击IP除了文件上传以为是否存在其他攻击行为，攻击结果如何。
4. 溯源：攻击者是怎么把木马写进来的。

传感器上出现命令执行告警，怎么应对？

1. 验证此条告警是否真的成功（成功的话，直接就可以出报告了）。
2. 失败的话，判断攻击者是手工还是扫描工具批量行为。
3. 进入分析平台进一步分析，查看分析平台攻击IP除了文件上传以外是否存在其他攻击行为，攻击结果如何。
4. 将发现时间及攻击行为反馈给护网客户。