日常记录，仅供收藏，用时不慌。

0x01 写在开头

首先聊一下，基于主机层的资产都包括哪些？

主机名、cpu、内存、内核版本、启动项、进程、内核模块、端口、Docker镜像、Docker容器、Docker网络、软件、用户、网站

那么对于入侵检测方向需要关注的是哪些呢？

在我看来，有敏感端口和敏感文件两大块。本文直接举例需要关注的资产。

0x02 敏感端口

对于主机上的敏感端口事件信息进行监控。信息包括主机名、主机 IP 地址、监听地址信息、PID、进程名、发现时间、事件状态信息。

1.常见数据库端口

389143315213306543227017

2.常见windows端口

1371394453389

3.常见web端口

8044330005000800080018002808080818082888890009999

4.常见服务端口

87323756379700170029043920093005000050070

5.其他端口

21222553161

6.黑客常用端口

1231111123422222333333344445555666677778888999912345

0x03 敏感文件

对于主机上的敏感文件变动事件进行监控，监控文件创建、文件改名、文件修改、文件删除、属性变更等事件。信息包括主机名、主机 IP 地址、业务组、文件路径、发现时间、动作、事件状态信息。

因策略较敏度，以下仅作举例，可自己完善补充。

1.shell文件

/bin/sh/bin/dash/bin/bash/bin/rbash/bin/zsh/usr/bin/zsh/bin/sh/usr/bin/sh/usr/bin/bash

2.认证相关敏感文件

/etc/shadow

3.认证相关敏感目录

/etc/pam.d

4.持久化相关敏感目录

/var/spool/cron

5.持久化相关敏感文件

/root/.bashrc

6.命令执行历史文件

/root/.bash_history

 7.动态库相关敏感文件

/etc/ld.so.conf

 8.带suid的可执行文件

/bin/passwd

写在结尾

本文从资产监控的角度，看待入侵检测的监控策略。

入侵检测是一个纵深防御的工程，可以多角度采集不同的数据，最后完整的还原入侵者的攻击路径，同时能够用最快的速度发现入侵者并进行应急处理。

点赞，转发，在看

    点击关注

    学习技术

反入侵实验室

本文始发于微信公众号（反入侵实验室）：入侵检测系列之资产监控