因为经常使用的是window,所以就用window操作系统直接搭建
需要到Elasticsearch
、Logstash
、kibana官网下载,且必须版本都一致,本次我使用的是7.6.1版本
Elasticsearch:用于存储收集到的日志信息;
Logstash:用于收集日志转发给Elasticsearch;
Kibana:通过Web端的可视化界面来查看日志。
docker安装:https://mp.weixin.qq.com/s/rakuhGVSoUysso1VD5r0aA
其实只需要添加java路径就行了,java版本无所谓,本人亲测1.8和11.2都行
1.解压的绝对路径最好不带中文及空格,win+R打开cmd,进入Elasticsearch的bin目录执行elasticsearch.bat文件
访问localhost:9200,能访问到进行
2.在bin目录下创建logstash.conf文件,内容如下:
input {
tcp {
port => 5044
}
}
output {
elasticsearch { hosts => ["localhost:9200"] }
stdout { codec => rubydebug }
}
然后打开cmd进入bin目录运行logstash -f logstash.conf
3.进入C:\kibana-7.7.0-windows-x86_64\config目录修改kibana.yml配置文件
然后将最后面修改语言类型
3.最后访问http://localhost:5601,不要访问https
三种模式:上传文件,特定分析,代理加入。
1、导入Web日志
2、导入系统日志
3、自动监控日志
#Yara规则使用-规则检测&分析特征&自写规则
https://github.com/VirusTotal/yara
部分规则:https://github.com/Yara-Rules/rules
yara 为yara使用程序
yarac 为编译yara规则工具
通过设定好的规则进行筛选
特征提取:
1、多个样本同时对比筛选通用的数据
2、要根据样本的应用(分类、走的协议,文件头固定等)
利用已知规则库分析-挖矿样本&后门木马&勒索病毒
yara64.exe xxx.yar(此yar是自己编写好的) -r 文件夹
意思是从文件夹中筛选出自己提前设置的yar
-Yara规则内容支持字符串、正则表达式、十六进制进行匹配。
字符串:定义一个变量 $a = "字符串内容"
正则表达式:定义一个变量 $a = /正则表达式内容/
十六进制:定义一个变量 $a = {十六进制内容}
-Yara规则条件
and:与 or:或 not:非
all of them:所有条件匹配即告警
any of them:有一个条件匹配即告警
$a and $b and $c:abc同时匹配即告警
($a and $b) or $c:匹配a和b或c即告警
-Yara规则常用修饰符
nocase:不区分大小写
base64:base64字符串
xor:异或字符串
wide:宽字符
例:
xmrig挖矿样本
提取:文件头,关键字,协议,域名等
rule xmrigdemo
{
meta: #写给自己看的,没啥用
tag="xmrigdemo"
description = "test xmrigdemo"
author="xiaodisec"
strings: #关键词
$hex = {4D 5A}
$a = "stratum"
$b = "xmrig"
$c = "pool"
condition: #协议
all of them
}
保存的时候为xxx.yar文件