IOC告警的原因和解决措施

IOC告警

IOC告警事件大多是由内部安全设备发现，通常都是由于内网主机非法请求了高危的威胁情报地址。

这类事件首先应该对IOC告警进行确认，在微步上查询对应IoC。

看到以上结果，基本确认内网是存在WannaCry蠕虫病毒，有NTA的情况下基本能快速定位所有感染主机，处理方案参考上篇文章的勒索病毒处理流程。

如为其他告警但是确认为恶意安全事件的，也可以通过搜索引擎查询对应的分析文章，根据病毒行为作出对应的修复和后续的防护措施。

特殊情况下，如果IoC告警大概率确认为恶意，但是也无法找到相关文章，需要人工进行分析。

windows下通过netstat -ano命令来查看请求对应的IoC的PID，然后使用tasklist /svc|findstr “PID”来定位到对应进程。

linux下操作思路与以上类似，不多赘述。另外如进程请求变化太快不好定位，推荐个大佬写的小工具可以试试。