iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 14
1
Security

資安分析師的轉職升等之路系列 第 15

Day 14 傾聽日誌的聲音 : Log Analysis & Monitor日誌分析與監控 (2)

  • 分享至 

  • xImage
  •  

上一篇提到除了稽核之外,日誌分析Log Analysis還有很多用途,今天繼續介紹:

3.效能監控 Performance Monitoring

透過比對過去的 Web traffic log, 可以掌握網頁訪客的部分資料,例如Origin IP 起源IP,當大部份訪客來自於某個國家地區時,可以用CDN提升網站效能。

另一個常見的做法是在虛擬環境中佈屬專門工具來蒐集分析日誌,監控整個虛擬環境的效能,預測是否需要調整resource pool資源池,VMware 環境下有VMware vRealize Log Insight,Microsoft 下有Operations Management Suite (OMS) ,這兩個工具在某些license或情況下是免費的,也可以將log送到自己平時用的log management tool,建立專屬的儀表版監控。

4.資安分析Security Analysis

日誌在資安分析上的運用更是重要。這次鐵人賽有Penetration Test 滲透測試的介紹,理解ㄧ般攻擊的手法和過程後,不妨深入思考:這個步奏會在那裡留下記錄?監測特定日誌log可以提早發出警訊,警告我們正有人攻擊或對系統進行情報蒐集;當資安事件發生後,我們也必須依靠日誌,重建攻擊入侵的軌跡,針對弱點強化以防止再次被入侵。ㄧ些通常會監測的日誌log情況如下:

Windows Event Log 應該是使用Microsoft主機系統最常監控的日誌,帳號異常登入的行為通常是被入侵的警訊,例如某個帳號短時間內登入多台主機,可能是lateral movement;短時間內多次登入失敗,可能是Brute Force手法想破解密碼;當日誌出現創建帳號(Event ID 4720),伴隨著帳號權限提升的記錄,很可能是入侵者創建一組屬於自己使用的管理員帳號,必須確認是ㄧ般MIS 正常運作還是異常行為。這些屬於audit log稽核日誌多半需要另行調整設定,系統才會開始記錄,可以參閱Microsoft 相關文件(連結在文末)。

當ㄧ般員工使用電腦時,萬一(不小心)點擊連結、造訪惡意網站、甚至下載可疑檔案,這些行為都會在不同系統留下相對應記錄,例如DNS Log 會提供那台電腦查詢網站的記錄,Proxy Log或Firewall Log 乃至Switch/Router Flow Data會提供瀏覽、下載行為記錄, IPS/IDS Log會提出可疑惡意情況偵測,防毒軟體antivirus log 會記錄阻擋惡意程式運作,假使IPS/IDS和防毒軟體僅僅判定檔案為「可疑」,亦可以憑現有日誌資料比對網上資安情資平台,例如VirusTotal或Cisco Talos,判定檔案或連結是否為惡意,甚至憑日誌照著員工瀏覽記錄,在安全的Sandbox沙盒環境檢驗檔案和連結。

https://ithelp.ithome.com.tw/upload/images/20180102/20084806EpEZ8X2s2j.jpg
*網路截圖來自medium 文章“Understanding Log Analytics, Log Mining & Anomaly Detection”

「可別白領薪水啊!」- - 紹斯‧巴寧格《機動戰士鋼彈0083:星塵作戰回憶錄》

雖然之前決定維持vendor neutral,盡量避免提具體產品的名字以免偏頗特定廠商,但我確實發現很多玩VMware好幾年經驗的同行不知道VMware vRealize Log Insight這個工具的存在,而且在某些licensing 情況下Log Insight 是免費的,例如某些VMware vSphere license方案下已包含Log Insight, 或是允許在有限額度內免費使用,所以我還是提供一下資訊,畢竟大家聽到分享的工具才能去測試,好不好用、適不適用看個人,也許覺得免費額度很足夠,或者喜歡產品可以進ㄧ步向廠商了解,或是自己有合用的方案,也歡迎留言分享。

關於Windows 主機安全日誌的好資源 Ultimate Windows Security
https://www.ultimatewindowssecurity.com/default.aspx

來自微軟關於稽核日誌的官方文件Microsoft Docs: Security Auditing
https://docs.microsoft.com/en-us/windows/device-security/auditing/security-auditing-overview

CISCO Talos 資安情資分享平台
https://talosintelligence.com/

Virus Total 資安情資分享平台
https://www.virustotal.com/#/home/upload


上一篇
Day 13 傾聽日誌的聲音 : Log Analysis & Monitor日誌分析與監控 (1)
下一篇
Day 15 機器幫你管日誌: SIEM 安全資訊事件管理系統 (1)
系列文
資安分析師的轉職升等之路32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2018-01-03 09:13:04

新年快樂!今天一直在忙,陸續補充了一些內容,2018繼續加油!

看更多先前的回應...收起先前的回應...
彭偉鎧 iT邦研究生 1 級 ‧ 2018-01-03 10:37:01 檢舉

安全日誌,有時一天上萬筆,雖然可以分類去看,可是還是很多,由其是如果你是在銀行業,日誌可是更複雜,你有沒有想出不用逐筆看的方法?

那是今天的主題喔~會介紹SIEM :)

allenjung iT邦新手 5 級 ‧ 2018-01-03 11:05:35 檢舉

期待中~~~~

彭偉鎧 iT邦研究生 1 級 ‧ 2018-01-03 13:16:32 檢舉

等你的解答,到實在跟你說實務怎麼做!

新年快樂!貼了第一部分,預計會花三天把SIEM介紹完,再介紹其他的。我發現一天還是維持在一千字左右,多的要分成好幾天,不然這樣下去可能第28-30天內容就少了><

也歡迎您分享經驗:) 我覺得怎麼鐵人賽文章的討論反而不若技術問答熱絡....

0
yungchinlv
iT邦新手 5 級 ‧ 2023-08-17 15:01:13

www.sunlight.url.tw
讓你一小時完成日誌監控

我要留言

立即登入留言