在网络安全防护中,全局日志分析作为一项核心技术,不仅能够有效提高攻击检测效率,还能大幅提升攻击溯源和终端防护的能力。本文将介绍通过全局日志分析,如何实现态势感知、攻击溯源和终端防护的三大防御战法。
战法一:态势感知攻击检测
1.1 战法目标
在各类安全设备的告警中,误报比例较高,增加了系统辨别真实攻击并及时响应的难度。通过统一日志平台,可以快速查询关键信息,提高攻击检测效率。
1.2 实现思路
通过日志系统快速统计分析各类设备的告警事件,实现告警事件合并,例如频率分析、重要分组字段的统计分析,直接高效输出可疑源IP地址表单等。结合用户活动痕迹和安全事件的发生区域,最终鉴定此次攻击的结果。
1.3 使用方法
利用日志易平台的SPL(Search Processing Language)和高性能分析引擎Beaver,用户可以实现单一设备日志的聚合、跨设备日志的关联和不同时间段数据集的对比。通过关联威胁情报,提高告警精准度。
1.4 重点工作内容
1. 同一日志关联分析:通过WAF发现注入尝试攻击事件,对WAF日志中注入告警且关键字匹配到sleep函数类、状态码字段值为“200”(正常响应)的日志进行分析。
2. 多源日志关联分析:同一个源地址触发不同设备规则库的规则,对多源日志进行关联分析,发现异常IP或账户。
3. 新实体、新账户或新进程检测:通过与以往状态的实体或进程进行对比,发现异常。
战法二:攻击溯源
1.5 战法目标
通过日志系统对攻击行为、遗留文件、身份信息等进行分析和判断,定位攻击者,并及时将溯源信息报告指挥部。
1.6 实现思路
现场监测组通过各类安全设备、安全系统发现可疑威胁,并通过接入边界安全防护类设备、应用安全防护类网络威胁检测类设备、流量检测类设备、主机防护类设备、终端管理类设备和端点防护类设备,进行溯源取证分析。
1.7 使用方法
通过日志易收集的原始事件日志,进行溯源取证分析。将可疑威胁统计分析结果与已知威胁的监控检测结果进行对比,按时间轴顺序分析可疑威胁的上下文。
1.8 重点工作内容
- 攻击IP或用户识别:通过日志系统,协助识别可疑攻击用户,验证用户登录行为,确定是否为本人正常操作。
战法三:终端防护
1.9 战法目标
通过日志系统的报表和告警功能,实现企业个性化监测需求。
1.10 实现思路
在终端安全防护中,不仅要管理设备漏洞,还需防护终端上的不安全配置,如密码管理中的弱口令等;关注应用Web后台是否暴露在互联网。进行操作系统、中间件、数据库的安全基线检查,以及网络设备和安全设备的登录监控。
1.11 使用方法
1. 登录操作监控:监控账户频繁登录失败、登录成功、多机异常登录、多账号登录等。
2. 敏感指令监控:监控history、whoami、ifconfig、netstat、traceroute、last命令等敏感指令。
3. 进程监控:监控新增进程、新增端口、新建主机连接、减少进程、减少端口监听、减少主机连接等情况。
4. 敏感进程之间相互调用的监控:如web进程调用系统后台执行脚本的情况。
1.12 重点工作内容
- AD安全事件分析:关注内网渗透mimikatz工具利用zerologon攻击AD服务器的事件,监控eventid为4648, 4742, 4624, 5805, 5829, 5827, 5828, 5830, 5831的事件。
1.13 价值总结
通过日志系统对进程、系统日志、审计日志的多类分析,监测终端层的可疑安全事件,提高终端防护能力。
结语
通过部署日志系统,实现了对集团数据中心各应用系统、网络及安全设备的全面安全态势感知,助力高效开展攻击溯源工作,有效地监测终端异常行为,提高终端防护能力。全局日志分析作为智能防护与精准溯源的利器,将继续为企业网络安全保驾护航。关注我们,获取更多网络安全最新动态和防护技巧。让我们一起为安全护航!
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):HVV技战法 | 全局日志分析:智能防护与精准溯源的利器
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论