技战法三、全局日志分析,有效促进溯源和防护

于 2024-08-12 10:35:08 发布
阅读量502 收藏 5
点赞数 17
分类专栏: 技战法 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/we_solo/article/details/141124454
版权

目录 

战法一:态势感知攻击检测

1.战法目标

2.实现思路

3.使用方法

4.重点工作内容

战法二:攻击溯源

1.战法目标

2.实现思路

3.使用方法

4.重点工作内容

战法三:终端防护

1.战法目标

2.实现思路

3.使用方法

4.重点工作内容

5.价值总结

综述

战法一:态势感知攻击检测

1.战法目标

在各类安全设备的告警中,误报比例普遍较高,这无疑加大了系统辨别真实攻击并及时响应的难度。通过统一日志平台,可以对关键信息进行快速查询检索,极大提高攻击检测效率。

2.实现思路

通过日志系统快速统计分析各类设备的告警事件,实现告警事件合并,例如出现频率分析,重要分组字段的快速统计分析,直接高效输出可疑源IP地址表单等。根据源地址、目的地址对安全事件进行分析,结合用户名称,看用户的活动痕迹,结合安全事件的发生区域,最终要达成的一个目的,就是鉴定此次攻击的攻击结果。

3.使用方法

在演习中利用日志易平台的SPL(Search Processing Language)和高性能分析引擎Beaver,用户可实现单一设备日志的聚合、跨设备日志的关联以及不同时间段数据集的对比,进而实现对普通安全设备告警日志的降噪处理,还可以关联威胁情报(IP地址、文件HASH等维度),最终提高告警精准度。

  1. 单一维度安全场景统计分析,针对FW,IDS,IPS,WAF,流量检测等安全网络设备日志以及系统日志进行归并分析,快速识别恶意程度更高的攻击IP,减少误报;
  2. 多维度安全场景关联分析,针对FW,IDS,IPS,WAF,流量检测等安全网络设备日志以及系统日志进行分析,对不同数据源进行关联,如发现同时在不同数据源中出现的异常IP或账户;

4.重点工作内容

  1. 场景一:同一日志关联分析。WAF 发现注入尝试攻击事件,但服务器正常响应。就可以建立这么一个查询分析,过滤 WAF 日志中出现注入告警且关键字匹配到 sleep 函数类,但关联状态码字段值为“200”(正常响应)的日志,并对这些过滤出的事件日志进行针对性分析,对攻击类型、源地址、目的地址进行分组展示。
  2. 场景二:对多源日志关联分析。同一个源地址触发了不同设备规则库的规则,这个源地址可能执行了一些风险很高的操作,属于攻击检测,这时我们对多源日志进行关联分析。
  3. 场景三:当服务器出现新实体、新账户或新进程时的检测。这可以通过与以往时间状态的实体或进程相比进行发现。这是攻击检测的白名单检测模式。

战法二:攻击溯源

1.战法目标

在演习中,通过日志系统对攻击方的攻击行为、遗留文件、身份信息等进行分析和判断,发现定位攻击者,及时将溯源信息报告指挥部。

2.实现思路

现场监测组通过各类安全设备、安全系统可以发现可疑威胁,可以通过接入边界安全防护类设备、应用安全防护类网络威胁检测类设备、流量检测类设备、主机防护类设备、终端管理类设备、端点防护类设备,进行溯源取证分析,往往可以帮助我们分析出可疑威胁发生的真正原因。

3.使用方法

通过日志易收集的原始事件日志(比如流量、终端日志),进行溯源取证分析。可以将可疑威胁统计分析的结果与已知威胁的监控检测结果进行对比分析,通过异常告警、事件发现,按照时间轴顺序,对可疑威胁的上下文进行分析。分析可疑威胁发生前后执行的动作

4.重点工作内容

通过日志系统,对网络设备、安全设备、主机系统及应用系统进行了全面日志收集。

在演习中,典型场景如下:

  1. 攻击IP或用户协助识别

     1、表象:态势感知平台发现可疑攻击用户

     2、日志易作用:通过日志协助确定用户操作行为

     3、对该用户登录失败频度、AC登录时间、IIS源IP进行逐一验证,确定是否为本人正常操作。

战法三:终端防护

1.战法目标

通过日志系统的报表和告警功能实现企业个性化监测的需求。

2.实现思路

在终端安全防护时,不仅需要对设备漏洞的管理,在终端上的不安全配置也要重点防护,如密码管理中的弱口令等;关注应用 Web 后台是否暴露在互联网。而且不仅仅需要针对应用系统(操作系统、中间件以及数据库)进行安全基线检查,还需要对网络设备、安全设备进行安全基线检查和登录监控。

3.使用方法

  1. 登录操作监控:账户频繁登陆失败、登录成功、多机异常登录、多账号登录等;
  2. 敏感指令监控: history、whoami、ifconfig、netstat、traceroute、last命令;
  3. 进程监控:新增进程、新增端口、新建主机连接、减少进程、减少端口监听、减少主机连接等情况;
  4. 敏感进程之间相互调用的监控:典型场景是web进程调用系统后台执行脚本的情况。

4.重点工作内容

真实场景如下:

  1. AD安全事件分析
  1. 内网渗透mimikatz工具利用zerologon攻击AD服务器,需要关注eventid为4648 ,4742,4624,5805,
     5829,5827,5828,5830,5831的事件
  2. 作用:指定IP对即先出现5829(在初始部署阶段允许存在漏洞的Netlogon安全通道连接)、再出现5827、5828(存在漏洞的Netlogon连接被拒绝时触发)、 5830,5831(如果“域控制器:允许易受攻击的Netlogon安全通道连接”组策略允许连接),最后出现4648(攻击成功时出现)

5.价值总结

通过日志系统对进程、系统日志、审计日志的多类分析,监测了终端层的可疑安全事件。提高了终端防护能力。

综述

综上,通过部署日志系统,实现了从日志角度对集团数据中心各应用系统、网络及安全设备的全面安全态势进行感知,助力高效开展攻击溯源工作,有效地监测终端异常行为,提高了终端防护能力。

羊_了个羊
关注
  • 17
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
[网络安全提高篇] 一一.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
hvv之战法
weixin_45997442的博客
05-05 1000
*
附件:防守方评分标准.docx
千寻的博客
07-02 2717
收集整理的攻防演练方案过程中,相关的附件整理模板,附件一:攻防演练授权委托书;附件二:攻防演练保密协议;附件:防守方评分标准;附件四:攻击方评分标准;附件五:攻击过程简报;附件六:防守工作简报;...
红蓝紫实战攻防演习手册2020
渗透测试研究中心
12-29 333
因此,2020年开始,不论是监管单位还是单位自身,在组织攻防演习时,都会逐渐降低演习中靶标系统的权重,鼓励攻击更多的单位、系统,发现更多的问题和风险。对抗是攻防双方能力的较量,是一个动态的过程。防守队应该通过开展资产梳理工作,形成信息资产列表,至少包括单位环境中所有的业务系统、框架结构、IP地址(公网、内网)、数据库、应用组件、网路设备、安全设备、归属信息、业务系统接口调用信息等,结合收缩战线工作的成果,最终形成准确清晰地资产列表,并定期动态梳理,不断更新,确保资产信息的准确性,为正式防守工作奠定基础。
红蓝对抗-HW红蓝队基本知识
lza20001103的博客
04-30 1万+
HW红蓝队基本知识
红蓝对抗实战-HW红蓝队基本知识
wananxuexihu的博客
07-13 796
蓝队,一般是指网络实战攻防演习中的攻击一方。蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段;通过术手段实现系统提权、控制业务、获取数据等渗透目标,来发现系统、术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。蓝队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统,获取利益为目标;而蓝队则是以发现系统薄弱环节,提升系统安全性为目标。
在互联网上,没有人知道你是一条狗?
热门推荐
信息安全-企业安全-数据安全
08-22 3万+
1993 年,《纽约客》(The New Yorker)杂志刊登一则由彼得·施泰纳(Peter Steiner)创作的漫画:标题是【On the Internet, nobody knows you’re a dog.】 这则漫画中有两只狗:一只黑狗站在电脑椅上,爪子扶着键盘。它望向站在地上、表情迷茫的另一只狗,兴奋地说:「在互联网上,没人知道你是一条狗。 (On the Internet, nobody knows you’re a dog.)画中那只狗的台词随即成了 IT 界广为流传的经典笑话。 那个
信息系统安全复习提纲
Sun_study的博客
01-03 2万+
信息系统安全复习 2021.12月整理 标注了部分2021年12月考察到的知识点 目录信息系统安全复习一、基本概念第一讲 信息系统概论1.什么是信息系统2.信息系统的例子,包括云计算、雾计算、边缘计算等3.信息系统的架构、架构的复杂度第二讲 信息系统安全概论1. 信息系统安全威胁,常见的威胁,攻击致命度2. 信息系统安全的概念,**怎样理解一个信息系统是安全的;**3. 信息系统安全保障体系的要素和能力;(2021年12月考)4. 基于信息保障的信息系统安全概念第安全需求和安全策略1. 安全需求,一般
网络安全防护战法报告.docx
06-10
网络安全防护战法报告 一、防守战法概述 为了顺利完成本次护网行动任务,切实加强网络安全防护能力,XXXX设立HW2019领导组和工作组,工作组下设术组和协调组。护网工作组由各部门及各二级单位信息化负责人组成...
网络安全-战法.pdf
08-12
战法.pdf
长亭战法集合 10大防守“战法”阻敌
09-28
长亭战法集合 10大防守“战法”阻敌 在大型攻防演练场景中,通过伪装欺骗系统“主动”部署诱饵,诱敌深入,采集信息达到追踪溯源,最终反制,是可以减少失分获得加分的重要方式。 想要最终捕获到狡猾的攻击者,...
日志、审计结果分析报告.docx
01-06
日志、审计结果分析报告是等保测评过程中的重要组成部分,旨在对日志中的安全事件进行分析和处理,以确保网络系统的安全运行。该报告是根据日志类型、所属设备、分析人员、日期、分析结果、处理措施和备注等信息进行...
20220729_XX有限公司敏感信息排查战法模板
07-31
综述:本文将对XX有限公司敏感信息排查战法模板进行详细的解读和分析。该模板旨在帮助企业排查和整改业务中的安全隐患和漏洞,降低信息泄漏和安全事件的风险。通过对业务网站和系统的排查和整改,减少对外暴露面,...
如何计算UDP校验和
ZhongUncle的博客
08-07 989
在了解 UDP 校验和的时候,发现资料很少,如果看教材的话,一定看到过下面这两张图,但是又看不懂,加上解释之后也难懂:本文先说具体怎么算的,再说一些细节,过程中顺带解释一下这两个图(第一张图是布局情况,第二张图是解释如何计算的)。
深度解密CRLF注入与重定向漏洞:从原理到实践
最新发布
2301_80064376的博客
08-08 880
重定向漏洞(Open Redirect)是一种安全漏洞,攻击者可以利用它将用户从受信任的网站重定向到恶意网站。这种漏洞通常出现在网站处理 URL 参数时,没有对用户输入进行适当验证。
开发android app用于移远模块读写IMEI 模组EC200DEULA-D08-SNNDA 支持socket连接读写IMEI
chenhao0568的专栏
08-07 348
发送{“function”: “write_imei”,“imei”: “860004050179648”}响应{“message”: “success”,“imei”: “860004050179648”}当结果正常时message为success,否则message给出英文具体原因,其它参数可能为空。发送{“function”: “read_imei”}响应{“message”: “success”}前面本地5902 转发到 后面设备为5902。PC与终端APP之间 json通信协议。
OSPF小实验
sgdhshshhs的博客
08-07 391
【代码】OSPF小实验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值