封 IP 是简单有效的拦截方式；但不建议一段一段的封，大段封禁属于伤敌八百自损八千

内网防护十分重要公安部会提供国内 VPS 给攻击方，但大概率不会用，而会用自己的 VPS，基本在美国和东南亚；遇到国外攻击地址一律封禁，虽得不了分但具有真实防护效果

漏洞利用攻击和木马攻击是主要得分点，尽量分拿满

沙箱设备，能覆盖木马攻击和邮件攻击，建议从应急组抽人专职做样本分析

英文钓鱼邮件、来自国外地址的钓鱼邮件无需关注，拿不了分

扫描事件不得分，扫描和真实漏洞利用的 payload 有区别，裁判不傻

提交给公安部的报告关键内容：源 IP，事件类型，流量分析（全流量），有样本需分析样本并附上样本；切忌只截设备告警图

团队沟通以微信群沟通效率更高

基础

results matching ""