日志分析（溯源、防护）

1. 全局日志分析，有效促进溯源和防护
2. 战法一：态势感知攻击检测

 

1. 战法目标

 

在各类安全设备的告警中，误报比例普遍较高，这无疑加大了系统辨别真实攻击并及时响应的难度。通过统一日志平台，可以对关键信息进行快速查询检索，极大提高攻击检测效率。

 

实现思路

 

通过日志系统快速统计分析各类设备的告警事件，实现告警事件合并，例如出现频率分析，重要分组字段的快速统计分析，直接高效输出可疑源IP地址表单等。根据源地址、目的地址对安全事件进行分析，结合用户名称，看用户的活动痕迹，结合安全事件的发生区域，最终要达成的一个目的，就是鉴定此次攻击的攻击结果。

 

使用方法

 

在演习中利用日志易平台的SPL（Search Processing Language）和高性能分析引擎Beaver，用户可实现单一设备日志的聚合、跨设备日志的关联以及不同时间段数据集的对比，进而实现对普通安全设备告警日志的降噪处理，还可以关联威胁情报(IP地址、文件HASH等维度)，最终提高告警精准度。 单一维度安全场景统计分析,针对FW，IDS，IPS，WAF，流量检测等安全网络设备日志以及系统日志进行归并分析，快速识别恶意程度更高的攻击IP，减少误报； 多维度安全场景关联分析,针对FW，IDS，IPS，WAF，流量检测等安全网络设备日志以及系统日志进行分析，对不同数据源进行关联，如发现同时在不同数据源中出现的异常IP或账户；

 

重点工作内容

 

场景一：同一日志关联分析。WAF 发现注入尝试攻击事件，但服务器正常响应。就可以建立这么一个查询分析，过滤 WAF 日志中出现注入告警且关键字匹配到 sleep 函数类，但关联状态码字段值为“200”（正常响应）的日志，并对这些过滤出的事件日志进行针对性分析，对攻击类型、源地址、目的地址进行分组展示。

场景二：对多源日志关联分析。同一个源地址触发了不同设备规则库的规则，这个源地址可能执行了一些风险很高的操作，属于攻击检测，这时我们对多源日志进行关联分析。

场景三：当服务器出现新实体、新账户或新进程时的检测。这可以通过与以往时间状态的实体或进程相比进行发现。这是攻击检测的白名单检测模式。

 

战法二：攻击溯源

 

战法目标

 

在演习中，通过日志系统对攻击方的攻击行为、遗留文件、身份信息等进行分析和判断，发现定位攻击者，及时将溯源信息报告指挥部。

 

实现思路

 

现场监测组通过各类安全设备、安全系统可以发现可疑威胁，可以通过接入边界安全防护类设备、应用安全防护类网络威胁检测类设备、流量检测类设备、主机防护类设备、终端管理类设备、端点防护类设备，进行溯源取证分析，往往可以帮助我们分析出可疑威胁发生的真正原因。  

 

使用方法

 

通过日志易收集的原始事件日志（比如流量、终端日志），进行溯源取证分析。可以将可疑威胁统计分析的结果与已知威胁的监控检测结果进行对比分析，通过异常告警、事件发现，按照时间轴顺序，对可疑威胁的上下文进行分析。分析可疑威胁发生前后执行的动作

 

重点工作内容

 

通过日志系统，对网络设备、安全设备、主机系统及应用系统进行了全面日志收集。 在演习中，典型场景如下： 攻击IP或用户协助识别

1、表象：态势感知平台发现可疑攻击用户

2、日志易作用：通过日志协助确定用户操作行为

3、对该用户登录失败频度、AC登录时间、IIS源IP进行逐一验证，确定是否为本人正常操作。

 

战法三：终端防护

 

战法目标 通过日志系统的报表和告警功能实现企业个性化监测的需求。

 

实现思路

 

在终端安全防护时，不仅需要对设备漏洞的管理，在终端上的不安全配置也要重点防护，如密码管理中的弱口令等；关注应用 Web 后台是否暴露在互联网。而且不仅仅需要针对应用系统（操作系统、中间件以及数据库）进行安全基线检查，还需要对网络设备、安全设备进行安全基线检查和登录监控。 使用方法 登录操作监控：账户频繁登陆失败、登录成功、多机异常登录、多账号登录等； 敏感指令监控： history、whoami、ifconfig、netstat、traceroute、last命令； 进程监控：新增进程、新增端口、新建主机连接、减少进程、减少端口监听、减少主机连接等情况； 敏感进程之间相互调用的监控：典型场景是web进程调用系统后台执行脚本的情况。

 

重点工作内容

 

真实场景如下： AD安全事件分析 内网渗透mimikatz工具利用zerologon攻击AD服务器，需要关注eventid为4648 ，4742，4624，5805， 5829，5827，5828，5830，5831的事件 作用：指定IP对即先出现5829（在初始部署阶段允许存在漏洞的Netlogon安全通道连接）、再出现5827、5828(存在漏洞的Netlogon连接被拒绝时触发)、 5830，5831（如果“域控制器：允许易受攻击的Netlogon安全通道连接”组策略允许连接），最后出现4648（攻击成功时出现）

 

价值总结

 

通过日志系统对进程、系统日志、审计日志的多类分析，监测了终端层的可疑安全事件。提高了终端防护能力。

 

综述

 

综上，通过部署日志系统，实现了从日志角度对集团数据中心各应用系统、网络及安全设备的全面安全态势进行感知，助力高效开展攻击溯源工作，有效地监测终端异常行为，提高了终端防护能力。