Incident Response Service
事件响应服务中心
面向勒索、入侵、木马、WebShell、漏洞利用和数据泄露等场景,提供事件受理、研判、处置和恢复支持。
支持勒索 / 入侵 / 漏洞利用 / 邮件安全
支持日志、截图、勒索信、样本线索提交
支持联动云沙箱、勒索病毒查询、IOC 与情报结果
我现在遇到了什么问题
如果你还无法准确判断类型,也可以直接提交事件,由平台协助初步研判。
勒索事件
主机被加密、出现勒索信、文件后缀异常、需要判断家族并评估恢复可能性。
建议材料:勒索信、加密后缀、邮箱、样本、受影响主机列表Web 入侵 / WebShell
网站被篡改、发现可疑木马文件、存在异常访问或持久化后门。
建议材料:Web 日志、样本路径、可疑文件、访问截图木马 / 后门 / 异常外联
终端存在异常进程、异常连接、下载执行、远控或挖矿行为。
建议材料:进程信息、网络连接、样本 Hash、告警截图漏洞利用 / 紧急高危漏洞
怀疑某个漏洞已被利用,或需要对当前环境进行紧急排查与处置。
建议材料:漏洞编号、资产范围、访问日志、异常行为账号失陷 / 邮件安全
邮箱被盗、账号异常登录、钓鱼邮件传播、权限滥用等情况。
建议材料:邮箱地址、可疑邮件、登录日志、邮件头数据泄露 / 综合异常
发现敏感数据外泄、黑产传播、暗网挂售或一时无法归类的安全异常。
建议材料:泄露截图、样本链接、说明材料提交后服务流程
提交事件
填写基础信息,上传线索、日志、截图或勒索信。
初步研判
平台根据事件类型、严重程度和提交材料进行初步分析。
补充沟通
如信息不足,提示用户补充日志、样本或受影响范围。
处置建议 / 人工响应
输出初步建议,必要时进入人工事件响应流程。
恢复与复盘
提供恢复、加固和复盘建议,形成完整闭环。
提交前建议准备以下材料
基础信息
- 事件发生时间
- 受影响资产
- 当前业务影响
告警与截图
- 安全设备告警截图
- 主机或网站异常截图
- 勒索信截图
日志与线索
- Web 日志
- 主机日志
- 邮件头
- 网络连接信息
样本与特征
- 样本文件
- Hash
- IOC
- 加密后缀
联系人信息
- 联系人姓名
- 电话 / 微信 / 邮箱
- 可联系时间
平台联动能力
云沙箱
上传样本、URL 或文档后,可将分析结果直接带入事件响应。
勒索病毒查询
可先判断勒索家族,再一键创建勒索处置事件。
IOC 情报
可将 IOC、告警值、关联情报直接作为事件上下文带入。
漏洞情报
紧急漏洞处置可自动带入漏洞编号、受影响资产和研判结论。
威胁情报
威胁事件可自动带入情报标题、威胁等级、关联组织和摘要。
精选处置流程与知识指南
处置流程
知识指南
勒索事件响应流程
勒索事件
初步研判 / 恢复评估
高
保留勒索信、识别家族、确认恢复可能性并隔离受影响主机。
证据保全
家族识别
恢复评估
WebShell 排查流程
Web 入侵 / WebShell
排查 / 清除
高
梳理 Web 日志、定位木马文件、封堵入口并清理持久化。
日志分析
样本定位
入口封堵
高危漏洞应急处置流程
漏洞利用
应急处置
紧急
快速确认资产暴露、利用迹象和补丁/缓解策略。
资产排查
利用确认
缓解加固
常见问题
仍然无法判断异常类型?
直接提交事件,平台将协助完成初步分类、补充研判和后续处置建议。