CVE-2019-1322 & CVE-2019-1405 [重点] cve-2019-12750 [ 赛⻔铁克(⽤的较多)本地提权 ] [重点] linux 内核漏洞 本地提权 [linux-exploit-suggester] CVE-2016-5195 [重点] CVE-2017-16995 CVE-2019-13272 统内置命 令执⾏] 搜集当前已控 "跳板机" 的各类敏感信息 注: 如下某些操作肯定是需要事先⾃⼰想办法先拿到管理权限后才能正常进⾏的,此处不再赘述 查看当前shell权限 及 详细系统内核版本 获取当前系统的 详细ip配置,包括 所在域, ip, 掩码, ⽹关, 主备 dns ip 获取当前系统最近的⽤户登录记录 获取当前⽤户的所有命令历史记录 [ 主要针对linux,⾥⾯可能包含的有各类敏感账号密码 传统远控 ... linux 单机系统维持 [临时] Patch SSH 替换各类基础服务so [ PAM,Nginx,Rsync ...] 系统计划任务 传统应⽤层远控 驱动层远控( 针对特定内核版本 ) 0x12 痕迹处理 web⽇志 [ 访问, 错误⽇志 ] 数据库⽇志 [ 异常连接⽇志,慢查询⽇志 ] 系统各类安全⽇志 [ ssh,rdp,smb,wmi,powershell

OR RESTRICTED, ALL RIGHTS RESERVED © 北京快猫星云科技有限公司 告警聚合 Incident Alerts Alert status 1. 告警的聚合分两层：1）将Alert的状态变化进⾏聚合、 2）多个相近的 Alerts 进⾏聚合。 2. 告警的通知，以 incident 为最⼩单位进⾏发送，降低通知的数量（80%下降）。 INTERNAL OR 收敛 故障范围 引导下钻定位 引导下钻定位 北极星 灭⽕图 ⽇志分析 链路分析 事件分析 指标分析 容量分析 基础设施分析 。。。 引导定位 关键特征 关键事件 量化业务层的健康状态 量化IT系统层的健康状态 预置故障定位的最佳实 践，引导分析定位问题 串联打通，交互验证 数据融合，最佳路径 ⾯向稳定性保障场景 ⾯向业务视⻆的故障发现定位体系 数据采集 数据集成（Integration）