告警日志分析

告警日志分析
告警日志分析概述
针对日常IT运维过程中遇到的网络故障、网络安全事件等场景提供的日志分析记录来获取相关有价值信息的一种服务措施。
告警日志分析为发现日常安全威胁、快速排查故障、解决处理安全事件提供了一种有效的辅助手段。

常见问题及风险规避
设备登录及日志获取操作
1.登录设备后，只进行日志查询和日志获取操作；
2.禁止进行设备参数修改、日志删除等操作、必要时由客户进行操作
3.获取的网络拓扑、日志及样本信息需要保密
分析方式
事件分析法
时间分析法
流量包样本分析法

基于WAF的常见web安全攻击类型
web服务器漏洞
web插件漏洞
xss跨站脚本漏洞
加粗样式SQL注入漏洞
命令注入漏洞
LDAP,XPath注入漏洞
文件传输，文件包含
文件上传导致Getshell
敏感信息泄露
未授权访问/权限绕过

基于IDS/IPS的常见的漏洞攻击类型
系统漏洞攻击
蠕虫病毒攻击
注入攻击
后门木马攻击
暴力猜测攻击
缓冲区溢出攻击命令执行
扫描探测攻击
弱口令行为

基于ADS/NAT的常见DDOS攻击类型介绍
SYN Flood攻击
ACK Flood攻击
UDP Flood攻击
ICMP Flood攻击
HTTP Get Flood攻击

常见误报原因分析
误报
检测系统将一个合法的行为判断为一个异常或入侵行为，误报太多会降低入侵检测的效率，而且会增加安全管理员的负担，因为安全管理员必须调查每一个被报警的事件
误报场景
检测系统警告触发阈值过低
应用开发不规范（没有遵守RFC规范）
数据特征触发告规则

统计分析所需的关键字段
IDS/IPS日志：
时间、源IP、目的IP、目的端口、告警名称、告警次数、协议摘要、原始报文
WAF日志：
时间、客户端IP、目标域名、URL、服务器IP、服务器端口、方法、事件类型、匹配规则、HTTP请求或响应信息
利用这些字段进行统计分析，可以：
绘制攻击者画像，描绘攻击路径
展示业务系统遭受的攻击烈度、攻击手法，并做好处置预防工作
统计聚合的维度
Top N：事件Top N、攻击源Top N、被攻击IP/域名Top N——最为常见，但对安全人员做威胁分析来说，没有太大的价值
时间分布——展示攻击的时间变化趋势
告警类型——展示攻击手法
源IP——展现攻击IP的攻击烈度
源IP地理位置——展现各地区攻击烈度
业务系统——展现业务系统遭受的攻击烈度

重要事件的统计分析
漏洞扫描探测
攻击者使用漏洞工具对目标系统进行Web应用漏洞扫描、主句系统漏洞扫描，短时间内会在安全设备上产生多种类型的告警日志。
端口扫描、探测等行为会被IDS告警
恶意通信
攻击者尝试访问Webshell，上传木马后门等远程连接工具，或者被植入的恶意程序尝试连接远端地址，都会在安全设备上产生相应告警日志。
暴力猜解
攻击者使用暴力猜解工具猜解登录用户名、密码、有大量认证失败请求，会在安全设备上产生暴力猜解、认证失败的告警日志。