入侵检测系列之资产监控

  • A+
所属分类:安全闲碎

日常记录,仅供收藏,用时不慌。

0x01 写在开头

首先聊一下,基于主机层的资产都包括哪些?


主机名、cpu、内存、内核版本、启动项、进程、内核模块、端口、Docker镜像、Docker容器、Docker网络、软件、用户、网站


那么对于入侵检测方向需要关注的是哪些呢?


在我看来,有敏感端口和敏感文件两大块。本文直接举例需要关注的资产。

0x02 敏感端口

对于主机上的敏感端口事件信息进行监控。信息包括主机名、主机 IP 地址、监听地址信息、PID、进程名、发现时间、事件状态信息。

1.常见数据库端口

389143315213306543227017

2.常见windows端口

1371394453389

3.常见web端口

8044330005000800080018002808080818082888890009999

4.常见服务端口

87323756379700170029043920093005000050070

5.其他端口

21222553161

6.黑客常用端口

1231111123422222333333344445555666677778888999912345


0x03 敏感文件

对于主机上的敏感文件变动事件进行监控,监控文件创建、文件改名、文件修改、文件删除、属性变更等事件。信息包括主机名、主机 IP 地址、业务组、文件路径、发现时间、动作、事件状态信息。

因策略较敏度,以下仅作举例,可自己完善补充。

1.shell文件

/bin/sh/bin/dash/bin/bash/bin/rbash/bin/zsh/usr/bin/zsh/bin/sh/usr/bin/sh/usr/bin/bash

2.认证相关敏感文件

/etc/shadow

3.认证相关敏感目录

/etc/pam.d

4.持久化相关敏感目录

/var/spool/cron

5.持久化相关敏感文件

/root/.bashrc

6.命令执行历史文件

/root/.bash_history

 7.动态库相关敏感文件

/etc/ld.so.conf

 8.带suid的可执行文件

/bin/passwd


写在结尾

本文从资产监控的角度,看待入侵检测的监控策略。


入侵检测是一个纵深防御的工程,可以多角度采集不同的数据,最后完整的还原入侵者的攻击路径,同时能够用最快的速度发现入侵者并进行应急处理。


入侵检测系列之资产监控


点赞,转发,在看


    点击关注

    学习技术

反入侵实验室

入侵检测系列之资产监控
入侵检测系列之资产监控


本文始发于微信公众号(反入侵实验室):入侵检测系列之资产监控

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: