<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              安基網 首頁 IT技術 安全攻防 查看內容

              基于日志的安全分析實戰

              2018-9-20 08:25| 投稿: xiaotiger |來自: 互聯網


              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

              摘要: 基于日志的安全分析實戰背景越來越多的企業開始重視構建基于日志的安全分析與防護系統。我們會講述如何使用日志服務從0到1收集海量日志,并從中實時篩選、甄別出可疑操作并快速分析,進一步構建安全大盤與可視化。并 ...

              基于日志的安全分析實戰

              背景

              越來越多的企業開始重視構建基于日志的安全分析與防護系統。我們會講述如何使用日志服務從0到1收集海量日志,并從中實時篩選、甄別出可疑操作并快速分析,進一步構建安全大盤與可視化。并通過實戰方式,演練覆蓋幾個典型安全分析場景。

              目標

              1. 了解日志服務對于安全日志分析的場景的支持。
              2. 通過演練,了解如何使用日志服務進行典型安全場景的威脅識別與分析,包括:
              • 場景一:主機被暴力破解與異常登錄識別
              • 場景二:數據庫被SQL攻擊與拖庫識別
              • 場景三:Web服務被CC攻擊的行為分析
              1. 了解如何構建安全大盤與可視化。

              議程

              1. 現場產品介紹(5~8分鐘)
              2. 準備工作(2分鐘)
              3. 實戰練習與問答(~20分鐘)

              準備工作

              1. 您需要一臺能夠上網的筆記本
              2. 現場會發送【測試賬號】給各位
              • 注意:每一個獨立的測試賬號,都已經預先準備好了環境數據和部分參考配置,以便大家更高效的完成實戰。
              1. 打開瀏覽器(推薦Chrome),跳轉到日志服務控制臺,根據提示,輸入賬號信息登錄即可。
              2. 跳轉到預先準備好的項目yq201809-阿里云ID
              • 直達鏈接(需要替換掉阿里云ID):https://sls.console.aliyun.com/#/project/yq201809-阿里云ID/categoryList
              1. 跳轉到預先準備好的日志庫yq-demo的查詢頁面即可:
              • 直達鏈接(需要替換掉阿里云ID):https://sls.console.aliyun.com/next/project/yq201809-阿里云ID/logsearch/yq-demo

              步驟

              場景一:主機被暴力破解與異常登錄識別

              1. 查看登錄日志

              在查詢界面輸入如下,即可看到主機登錄的日志:

              __topic__ : winlogin
              

              日志的結構如下:

              __topic__: winlogin // 日志主題:登錄日志為winlogin
              client_ip: 197.210.226.56 // 登錄客戶端IP
              result: success // 登錄結果:success / fail
              target: host4.test.com // 被登錄的機器
              target_type: server // 機器類型 server(服務器), normal
              type: ssh // 登錄方式:ssh, rdp
              user: admin // 登錄賬戶
              

              2. 識別暴力破解

              任務:通過SQL關聯分析,識別暴力破解

              邏輯:特定服務器被連續失敗登錄后有一個成功登錄

              參考:可以參考預先配置好的【快速查詢】:暴力破解

              3. 識別異常登錄

              任務:通過SQL地理函數與安全函數分析登錄地址,識別異常登錄

              邏輯:平時服務器都是從中國區或者美國(VPN)登入,出現了從其他國外登入的IP,且改IP為感染IP。

              參考:可以參考預先配置好的【快速查詢】:異常登錄

              4. 構建登錄安全大屏

              任務:通過地圖圖表構建登錄儀表盤,將潛在風險加入儀表盤

              參考:可以參考預先配置好的【儀表盤】:場景一:....

              場景二:數據庫被SQL攻擊與拖庫識別

              1. 查看登錄日志

              在查詢界面輸入如下,即可看到mysql的SQL執行日志:

              __topic__ : mysql
              

              日志的結構如下:

              __topic__: mysql // 日志主題:SQL執行日志為mysql
              sql: SELECT * FROM accounts WHERE id >= 20000 
               and id < 30000 limit 10000 // 執行的SQL
              target: db1.abc.com // 數據庫服務器
              db_name: crm_system // 數據庫
              table_name: accounts // 表格
              sql_type: select // SQL類型: select, update, delete等
              user: op_user1 // 執行SQL的用戶
              client_ip: 1.2.3.4 // 連接執行的客戶端IP
              affected_rows: 10000 // 影響的函數,例如返回的行數
              response_time: 1210 // 執行的響應時間(毫秒)
              

              2. 識別SQL攻擊

              任務:通過SQL解析,識別SQL攻擊

              邏輯:黑客通過獲取了數據庫賬戶(或者通過SQL注入),執行了一系列的SQL語句,將病毒寫入服務器磁盤。(例如dumpfile into)

              參考:可以參考預先配置好的【快速查詢】:SQL攻擊

              3. 識別拖庫

              任務:通過SQL統計,識別SQL拖庫

              邏輯:黑客通過獲取了數據庫賬戶,執行了一系列的SELECT的SQL語句,將重要表格(例如賬戶、訂單信息)拖出。

              參考:可以參考預先配置好的【快速查詢】:數據庫拖庫

              4. 構建數據庫安全大屏

              任務:結合前面的規則,構建自己的數據庫安全大屏

              參考:可以參考預先配置好的【儀表盤】:場景二:....

              場景三:Web服務被CC攻擊的行為分析

              1. 查看登錄日志

              在查詢界面輸入如下,即可看到DDoS高防的訪問與攻擊日志:

              __topic__ : ddos_access_log
              

              參考DDoS高防訪問日志格式.

              2. 識別CC攻擊規則

              任務:查看CC攻擊目標站點與特點

              邏輯:CC攻擊的日志通過cc_blocks > 0可以獲得

              參考:可以參考預先準備好的場景三:... DDoS的運營中心與訪問中心儀表盤.

              3. 查看DDoS安全大盤

              查看現有儀表盤,修改并調整DDoS安全大盤:

              預覽:

              作者:成喆

              Tag標簽:

              小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

              本文出自:https://www.toutiao.com/a6602742402903966212/

              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


              鮮花

              握手

              雷人

              路過

              雞蛋

              相關閱讀

              最新評論

              最新

              返回頂部
              十一选五奖金对照表