滲透測試3 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

2019 iT 邦幫忙鐵人賽

DAY 29

1

Security

資安動手做系列第 29 篇

滲透測試3

2019鐵人賽

2018-11-04 13:26:44

1881 瀏覽

分享至

有些功能已經過時了，不過核心的squil還是在，操作方式不變

Architecture

https://github.com/Security-Onion-Solutions/security-onion/wiki/Elastic-Architecture
新版的security onion 不只引用ELK，還將各application Dokcer化... 恩，要學的東西真多，逼死人啊

Logstash - 解析和格式化日誌。
Elasticsearch - 攝取和索引日誌。
Kibana - 可視化攝取的日誌數據
OSSEC => Wazuh - HIDS，github上寫要取代成Wazuh，Wazuh上次我還有寫過
https://ithelp.ithome.com.tw/articles/10192215
ElastAlert - 告警，去年也寫過
https://ithelp.ithome.com.tw/articles/10191817

功能檢查

上一章有用sudo so-status檢查，不過Logstash有Warnning
Logstash重啟方式，其他服務也是一樣
https://github.com/Security-Onion-Solutions/security-onion/wiki/Elastic-RC4#logstash-failures

sudo so-logstash-restart

127.0.0.1:9200/_cat/indices
有資料近來，服務正常

模擬攻擊測試

用nmap -sS -n 192.168.7.13 -O 掃metasploittable2

開啟squert，有偵測到NMAP掃描

開啟squil，又見點選NNAP那欄

Alert ID那欄右鍵wireshark

可以看到截錄的封包

調整警示

2千多筆，查了一下目的IP是kail linux，

wireshark查看是在更新

~~為了怕硬碟被塞爆把這個警示改成正常 (按F8~~

系列文

資安動手做共 34 篇

目錄

RSS系列文訂閱系列文

53 人訂閱

完整目錄

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙