标签：日志取证

1. 背景与威胁概述 - 事件特征：突发性访问量异常、SSH/WinRM暴力尝试、未授权文件下载和数据库导出日志。 - 现实参考：可参考SolarWinds、Exchange ProxyLogon等事件的勒索与数据外泄行为模式。 - 泄露范围评估：包括用户凭证、个人 Identifiers、业务数据库快照、备份快照与证书私钥。 - 受影响资产：