本文介绍了Windows日志提取工具SglabIr_Collector_X64,以及七牛Lokit、360星图、流量分析工具goaccess、Linux安全检测GScan、LogonTracer、ELK日志分析、YARA恶意样本分析、Wazuh安全监测和蜜罐系统的优缺点。强调了开源产品的学习价值和商业产品的必要性。
windows日志提取工具--SglabIr_Collector_X64
windows系统日志使用这个工具可以提取windows系统中常见的日志文件
打开应用程序直接执行程序,这个程序就去收集计算机中的所有日志信息
程序运行结束后会生成一个output文件,文件中就保存了系统中的日志信息 
七牛Lokit日志检测系统--日志提取工具提取工具
优点:支持的平台和日志类型较多
缺点:没有安全检查功能
支持windows linux mac环境
直接解压程序,运行程序即可部署环境
./logkit -f logkit.conf
该产品支持各种类型的日志 
可以查看到日志采集 
360星图--日志分析
支持IIS/Apache/Nginx平台
配置config中的日志文件目录
优点:支持安全检测功能
缺点:支持的平台不多
运行start.bat程序 
生成结果报告 
流量分析--goaccess
部署方式
优点:所有的日志都支持,主要是对于网站的流量检测,例如cc攻击,ddos等恶意流量分析
缺点:没有安全检测
部署bash指令
wget http://tar.goaccess.io/goaccess-1.2.tar.gz
tar xf goaccess-1.2.tar.gz
cd goaccess-1.2/
./configure --enable-utf8 --enable-geoip=legacy
sudo apt install libncurses5-dev libncursesw5-dev
sudo apt install geoip-bin geoip-database libgeoip-dev
./configure --enable-utf8 --enable-geoip=legacy
make
make install
ls
goaccess -f ./access.log
ls
goaccess -f /tmp/access.log
goaccess -f /tmp/access.log --log-format=COMBINED > ./aa.html
goaccess -f /tmp/access.log --log-format=COMBINED > ./tmp/aa.html
goaccess -f /tmp/access.log --log-format=COMBINED > /tmp/aa.html
ls
可以进行实时监控,检测网站的访问情况和异常流量
Linux系统安全检测--GScan
将项目下载到linux系统中解压然后python运行GScan.py即可
结果会保存到一个日志文件中进行查看
Windows日志分析--LogonTracer
优点:主要适用于内网攻击检测
缺点:系统太卡
安装f8x
安装logontracer
ELK日志分析
优点:支持的日志分析种类齐全,支持多类型的日志分析
缺点:想要达到极好的安全日志分析效果需要自己编写ELK文件
ELK日志分析原理
ELK的部署可以参考黑马程序员的ELK教程
我们可以编写规则去筛选日志进行分析
可以将日志文件实时上传到网站下进行检测,但是没有安全检测功能
在filebeat中编写规则就可以按照规则进行筛选日志
或者可以直接上传文件到平台让其分析
编写语法进行特定的日志筛选
针对不同的数据类型进行分析
同时针对web平台 windows linux日志分析我们可以部署相关的插件,插件会将我们的文件上传到网站中进行日志分析,但是该平台本身并没有安全监测功能
windows日志,在目标主机上安装程序,程序就会自己收集日志去上传到平台进行分析
上传文件到平台来进行日志分析
我们可以结合ELK语法和一些网站的敏感操作信息,我们可以直接进行定位和溯源
YARA-- 恶意样本分析
帮助恶意软件研究人员识别和分类恶意软件样本的开源工具
优点:支持各种类型的安全特征检测
难点:需要提取特征自己分析
匹配的是网站的关键特征,例如文件头,关键字,协议,域名等信息
我们也可以使用网上项目中已知的规则进行匹配和应用
将程序下载到本地目录 编写yar规则,程序就会根据yar规则去检测目录下的文件是否符合检测规则
编写规则进行检测
特征提取:
多个样本对比筛选通用数据
更具样本的分类采取不同的特征点进行标注(协议 文件头信息等等)
Wazuh安全监测
主要功能--基线检测 ATT&CK攻击 日志分析 漏洞自查
服务器-代理端运行方式
(ps:基线指操作系统、数据库及中间件的安全实践及合规检查的配置红线,包括弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置检查。)
使用步骤
保证部署机器和检测机器可以相互连接
选择操作系统和输入IP地址后,就会生成操作指令
将操作指令在目标主机的powershell或者bash中执行就会上线分析目标机的日志信息,并将信息进行分析返回
蜜罐系统--hfish
作用:模拟各种漏洞--样本威胁检测--情报告警对接
我们可以部署几个有漏洞的cms,有漏洞之后我们就可以记录攻击者的攻击iP等 信息,再将IP信息收集下来进行分析
┌──(root㉿kali)-
└─# bash <(curl -sS -L https://hfish.net/webinstall.sh)使用这条命令直接部署即可
我们可以将获取的ip数据报等信息提交到微步在线等在线查杀平台进行分析,对于攻击者进行画像溯源
部署了不同类型的蜜罐
模拟攻击蜜罐,攻击者的iP等信息就被记录了下来
写在最后
因为还在学校,所以无法接触到一些商业产品,总结的是一些开源产品。正因为是开源产品,所以说大部分产品的功能都有缺陷并不是很完美。总结了一些产品的优缺点,相互补充。为此也要加油进好公司,才能体验到一些前沿的产品,担任在所给项目中的ELK,YARA等等产品还是很强的,可以学习相关的语法规则写出具有针对性的匹配规则来辅助我们进行检测
如有错误,请及时指出,谢谢
2652
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
