护网行动实战记录（蓝队视角）

背景

2023年10月，我以蓝队成员身份参加某省级护网行动，为期2周。目标单位是一家大型企业，资产包括Web应用、OA系统、邮箱、VPN等。

我的职责

主要负责安全设备监控与告警研判，具体包括：

• 奇安信态势感知平台的告警研判
• WAF/IDS告警分析与处置
• 异常流量识别与溯源
• 应急响应与事件处置

实战告警处置案例

案例一：Web扫描告警

告警内容：态势感知报了某IP短时间内大量请求不同路径，触发扫描检测规则。

研判过程：

• 查看请求特征，确认是工具扫描（目录爆破/漏洞探测）
• 检查目标返回状态码（200/500），确认是否打到真实接口
• 分析扫描器指纹（User-Agent、请求频率）

处置结果：封禁源IP，更新WAF规则，记录告警。

案例二：暴力破解告警

告警内容：SSH登录接口短时间内大量失败请求，来源IP分散在多个C段。

研判过程：

• 分析失败请求的时间分布和来源IP
• 检查是否有成功登录记录——发现有1次成功
• 确认成功登录的账号和来源IP

处置结果：立即锁定账号，通知客户重置密码，封禁相关IP段。

案例三：异常外联告警

告警内容：内网主机频繁访问境外IP，流量特征疑似C2通信。

研判过程：

• 查询威胁情报，确认目标IP为恶意地址
• 分析通信协议和频率，排除业务误报
• 检查主机进程和网络连接，发现可疑进程

处置结果：立即隔离主机，通知客户进行深度排查，确认为挖矿木马。

告警研判流程总结

经过两周实战，我总结出一套告警研判流程：

1. 看告警详情：攻击类型、源IP、目标IP、时间
2. 研判真假：对比业务日志，看是否误报
3. 确认攻击：查看是否落地（文件、数据库、进程）
4. 处置：封IP、改规则、隔离主机、通知客户
5. 记录：写告警处置报告

护网生存法则（蓝队视角）

1. 弱口令是头号杀手 — 先把自己所有系统的密码复杂度检查一遍
2. 日志为王 — 没有日志，被打了都不知道
3. WAF不是万能 — WAF拦得住自动化扫描，拦不住精心构造的绕过
4. 7×24排班 — 攻击不分白天黑夜，凌晨是最危险的时间段
5. 心态要稳 — 不要被红队的「火力侦察」吓到

收获与反思

护网结束后，我们成功防守住了核心目标，没有丢分。但复盘时也发现不足：

• 部分老旧系统没法打补丁，只能靠WAF硬扛
• 内部横向移动的检测能力不够灵敏
• 应急响应的流程还不够顺畅

安全不是一次性工程，是持续运营的过程。护网让我真正体会到了「被攻击」的压力和「防住了」的成就感。

注：本文已脱敏处理，不涉及具体单位信息。