安全日志分析的目的意义
1.通过对企业内部的各项数据进行汇总关联分析,如防火墙、安全设备、WAF、HIDS等产生的攻击日志,关联killchain的上下文信息,感知可能正在发生的攻击,从而规避存在的安全风险;
2.安全检测:从不同角度维度检测系统内部的安全风险;
3.应急响应:从日志中还原攻击者的攻击路径,从而挽回已经造成的损失;
4.溯源分析:回溯攻击入口与方式;
5.安全趋势:从较大的角度观察攻击者更“关心”哪些系统;
6.安全漏洞:发现已知或未知攻击方法,从日志中发现应用0day、Nday;
在数据收集阶段,我们要从数据分析的角度去思考,我们在做安全分析的时候,我们需要哪些数据,由此产生以下4问。
1.What 收集哪些数据
2.Where 数据在哪
3.How 如何去收集
4.All 数据接完了吗
1.1 What:收集哪些?
下面简单列出一些收集的日志,重点在于,收集的对象,它能产出哪些日志?
1.1.1 服务器日志服务器日志包括系统运行,账户认证,命令操作,系统运行等等日志。
1.1.2 流量检测日志流量检测设备通过旁路的方式分析全网流量,包括DNS请求,SMTP发送日志。
1.1.3 设备日志设备的种类很多,每一种设备都有自己检测的日志
网络设备:VPN,负载,代理服务器,路由,交换
安全设备:FW,IDS,IPS,AV,UTM,WAF,APT,抗DDoS
审计设备:数据库审计,上网行为,运维安全审计,内网审计系统
PC终端:杀毒软件
1.1.4 应用日志:Nginx,Tomcat,Jboss,Apache,Tuxedo,WebLogic
1.1.5 数据库日志:DB2,MySQL日志,Oracle日志,SQLserver
1.1.6 应用系统日志认证系统:堡垒机,电子签章,CA认证,身份服务引擎,无线网络控制
管理系统:数据库管理系统,数据交换系统
1.1.7 业务日志
1.1.8 ......
确定了收集哪些方面的数据后,然后就需要了解这些服务器设备有哪些日志,在数据安全分析时需要服务器及安全设备的哪些日志。
由 dawei
【声明】:站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。