RESTRICTED, ALL RIGHTS RESERVED © 北京快猫星云科技有限公司 告警聚合 Incident Alerts Alert status 1. 告警的聚合分两层：1）将Alert的状态变化进⾏聚合、 2）多个相近的 Alerts 进⾏聚合。 2. 告警的通知，以 incident 为最⼩单位进⾏发送，降低通知的数量（80%下降）。 INTERNAL OR RESTRICTED RIGHTS RESERVED © 北京快猫星云科技有限公司 以故障处理为中⼼的稳定性保障模型 故障开始 故障发现 故障定位 服务⽌损 状态恢复 状态正常 状态正常 发现处理 可能出现尝试定位和 尝试⽌损过程的反复 常态预防 复盘改进 ⾸要原则是：先⽌损后排查 状态异常 稳定性建设的重点 增强预防、发现处理能⼒ Flashcat • ⽇常巡检 • ⽇常排查 Flashcat Flashcat 故障范围 引导下钻定位 引导下钻定位 北极星 灭⽕图 ⽇志分析 链路分析 事件分析 指标分析 容量分析 基础设施分析 。。。 引导定位 关键特征 关键事件 量化业务层的健康状态 量化IT系统层的健康状态 预置故障定位的最佳实 践，引导分析定位问题 串联打通，交互验证 数据融合，最佳路径 ⾯向稳定性保障场景 ⾯向业务视⻆的故障发现定位体系 数据采集 数据集成（Integration）

起来积极指 补充完善 个⼈觉得,最好的防御永远不是怎么去防某个⼯具,是个明⽩⼈都知道,因为⼯具这些东⻄本身就是死的 稍微改下,定制下, 现有的规则可能⻢上就防不住了,且⼀直会处于疲于应付的被动防御状态 尤其是针对红队这种特殊场景的,你的实际对⼿很可能都是有⼀定技术实⼒的⼈ 所以针对每种核⼼的攻击技术技术展开做深⼊分析, 直接从源头上进⾏防御才是最靠谱的 虽然说短期这种成本代价相对较⾼, 但⻓期来看 ⻢)]/端 ⼝/⽹络连接信息 获取本机所⽤杀软 / 监控种类 [ 后续好针对性的做免杀 ] 获取本机所⽤杀软 / 监控种类 [ 后续好针对性的做免杀 ] 获取本机 rdp / ssh 端⼝开启状态 及 其默认端⼝号 获取本机所有⽤户的rdp外连记录 获取本机的所有SSH登录记录 获取当前系统所有登录成功的⽇志 [ 针对windows ] 获取本机所有已安装软件的详细列表 [ 主要为抓密码 程序 获取当前系统代理 [ ip & 端⼝ ] 获取当前系统所有的⾃启动注册表项值 获取当前系统的所有 ipc 连接 及 已启⽤共享 获取当前系统的所有挂载[mount] 获取当前系统的防⽕墙状态 获取当前系统所有分区/盘符及其详细使⽤情况 获取本机的累计开机时⻓ 获取本机arp / dns缓存 获取当前机器环境变量 [ 主要想看看⽬标机器上有⽆python,jdk,ruby...等语⾔的执⾏环境