HVV技战法 | 全局日志分析:智能防护与精准溯源的利器

admin 2024年8月9日08:45:19评论80 views字数 1638阅读5分27秒阅读模式

在网络安全防护中,全局日志分析作为一项核心技术,不仅能够有效提高攻击检测效率,还能大幅提升攻击溯源和终端防护的能力。本文将介绍通过全局日志分析,如何实现态势感知、攻击溯源和终端防护的三大防御战法。

战法一:态势感知攻击检测

1.1 战法目标

在各类安全设备的告警中,误报比例较高,增加了系统辨别真实攻击并及时响应的难度。通过统一日志平台,可以快速查询关键信息,提高攻击检测效率。

1.2 实现思路

通过日志系统快速统计分析各类设备的告警事件,实现告警事件合并,例如频率分析、重要分组字段的统计分析,直接高效输出可疑源IP地址表单等。结合用户活动痕迹和安全事件的发生区域,最终鉴定此次攻击的结果。

HVV技战法 | 全局日志分析:智能防护与精准溯源的利器

1.3 使用方法

利用日志易平台的SPL(Search Processing Language)和高性能分析引擎Beaver,用户可以实现单一设备日志的聚合、跨设备日志的关联和不同时间段数据集的对比。通过关联威胁情报,提高告警精准度。

1.4 重点工作内容

1. 同一日志关联分析:通过WAF发现注入尝试攻击事件,对WAF日志中注入告警且关键字匹配到sleep函数类、状态码字段值为“200”(正常响应)的日志进行分析。

2. 多源日志关联分析:同一个源地址触发不同设备规则库的规则,对多源日志进行关联分析,发现异常IP或账户。

3. 新实体、新账户或新进程检测:通过与以往状态的实体或进程进行对比,发现异常。

战法二:攻击溯源

1.5 战法目标

通过日志系统对攻击行为、遗留文件、身份信息等进行分析和判断,定位攻击者,并及时将溯源信息报告指挥部。

1.6 实现思路

现场监测组通过各类安全设备、安全系统发现可疑威胁,并通过接入边界安全防护类设备、应用安全防护类网络威胁检测类设备、流量检测类设备、主机防护类设备、终端管理类设备和端点防护类设备,进行溯源取证分析。

1.7 使用方法

通过日志易收集的原始事件日志,进行溯源取证分析。将可疑威胁统计分析结果与已知威胁的监控检测结果进行对比,按时间轴顺序分析可疑威胁的上下文。

1.8 重点工作内容

- 攻击IP或用户识别:通过日志系统,协助识别可疑攻击用户,验证用户登录行为,确定是否为本人正常操作。

战法三:终端防护

1.9 战法目标

通过日志系统的报表和告警功能,实现企业个性化监测需求。

1.10 实现思路

在终端安全防护中,不仅要管理设备漏洞,还需防护终端上的不安全配置,如密码管理中的弱口令等;关注应用Web后台是否暴露在互联网。进行操作系统、中间件、数据库的安全基线检查,以及网络设备和安全设备的登录监控。

1.11 使用方法

1. 登录操作监控:监控账户频繁登录失败、登录成功、多机异常登录、多账号登录等。

2. 敏感指令监控:监控history、whoami、ifconfig、netstat、traceroute、last命令等敏感指令。

3. 进程监控:监控新增进程、新增端口、新建主机连接、减少进程、减少端口监听、减少主机连接等情况。

4. 敏感进程之间相互调用的监控:如web进程调用系统后台执行脚本的情况。

1.12 重点工作内容

- AD安全事件分析:关注内网渗透mimikatz工具利用zerologon攻击AD服务器的事件,监控eventid为4648, 4742, 4624, 5805, 5829, 5827, 5828, 5830, 5831的事件。

1.13 价值总结

通过日志系统对进程、系统日志、审计日志的多类分析,监测终端层的可疑安全事件,提高终端防护能力。

结语

通过部署日志系统,实现了对集团数据中心各应用系统、网络及安全设备的全面安全态势感知,助力高效开展攻击溯源工作,有效地监测终端异常行为,提高终端防护能力。全局日志分析作为智能防护与精准溯源的利器,将继续为企业网络安全保驾护航。关注我们,获取更多网络安全最新动态和防护技巧。让我们一起为安全护航!

欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。

原文始发于微信公众号(紫队安全研究):HVV技战法 | 全局日志分析:智能防护与精准溯源的利器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月9日08:45:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HVV技战法 | 全局日志分析:智能防护与精准溯源的利器https://cn-sec.com/archives/3045805.html

发表评论

匿名网友 填写信息