「等等,走開,我要仔細看一下,你的筆電裡有多少東西...」
「Allen,你練過影分身? 你怎麼裝這麼多軟體啊? 你用時間處理嗎?」
『時間有啊,窮到只剩下時間可以用時,妳就懂了。』
「好吧,那你什麼時候要DEMO給我看?」
『我? 我不行,妳要看的話,我介紹專家給妳,妳自己聯絡。』
「唔...你拒絕我...你變了......」
『大小姐啊,我連手機root都不會,妳忘了嗎? 我也是請專家幫我處理啊。』
「你才不是不會root,你只是不熟,不是嗎? 你學就好啦。」
『也是啦,但我可能要花個半年,用壞好多手機,才有辦法學成。妳要我DEMO給妳看那個Qradar,我看妳可能要等個一年...』
「算了算了...求你我還不如去台北霞海城隍廟....」
『又要去龍...? 嗯? 城...去那幹嘛?』
「要你管...」
『算了算了...因為我的筆電效能不好,實在是...我試給妳看一下,可以吧?』
「看你誠意...」
『等一下...先看一下CPU計算滿載...硬碟讀取速度滿載和記憶體用量接近滿載.......』
「Allen...SSD硬碟使用率100%? 你怎麼可以這樣對待你的筆電? 筆電雖然沒有人權,但你會不會太過份了?」
真的不太想理她,我那可憐的筆電,在15分鐘後,效能算是恢復正常了......CPU滿載時,還不太會出現藍底白字可愛的畫面,但要是記憶體用到100%,那就真的是...下次要買有128GB的筆電,我真的快受不了了...32G的記憶體,怎麼會夠用...
『來吧,環境準備好了,大概就這樣的程序...
1.CentOS裡的mod_security enable,但只記錄不阻擋。
2.Kali Linux裡的wpscan、SQLMap和grabber 對CentOS上的Web做掃描。
3.CentOS上的apache access_log和error_log 往 Qradar送。
4.來看Qradar上的畫面。
如何?』
「哇,你怎麼對你的筆電這麼狠?」
『沒辦法啊,妳都放話了...霞海城隍廟...幹嘛啊?』
「去體驗垂直提權,你管我。」
『讓它們慢慢和CentOS交流吧,我們等一下看結果。』
「畫面跳這麼快,怎麼看啊? 為什麼有這麼多Log?」
『這樣叫多? 資訊長真愛開玩笑,我現在只有收一台CentOS裡的HTTP Log 而已,那有多,等到那天,妳們資訊室如果也建置這個之後,才會知道什麼叫做Log海嘯。洪水早就不足已形容,日常機房中的Log數量了。』
「是嗎? 那你說說看,會有什麼Log? 我怎麼沒感覺?」
『基本上來說哦...防火牆、IDS、IPS、WAF、Windows的Event Log、UNIX 和 Linux 的system log、資料庫的、網站的、AP的...妳要認真算,我們可能要算到明天哦。』
「沒關係啊,是你講又不是我講,不過...我還是不懂,用了SIEM可以幹嘛?」
『簡單的來說,如果沒有SIEM,資訊長,請問妳要如何從每天最少十萬筆Log中,找出昨天半夜三點,某個帳號登入某台Windows 主機的資訊?』
「昨天半夜三點? 沒吧,三點誰登入?」
『是啊,如果沒有人登入,妳也要有辦法舉證,昨天三點沒有人登入啊。另外,比如,要怎麼找出來,某個帳號,在一秒中之內,嘗試登入一百台Windows 和 五十台UNIX 主機? 用人去判斷很難的。』
「Allen 怎麼可能有人,在一秒中之內,嘗試登入那麼多台主機?」
『我說的是嘗試登入,我說的不是有人嘗試登入。又不是只有人才能做登入這件事。 』
「懂了...可能我們環境裡,有存在某些惡意程式,正好是類似登入測試的那種,才有辦法一秒中登入那麼多主機。」
『不是有句話這麼說的嗎...江湖事江湖解決,程式事當然程式解決。再說,現在都已經是什麼大數據、物聯網、AI什麼的年代了,還需要用人去處理Log嗎? 當然不是啦,唸到大學研究所畢業,就為了每天盯著螢幕看一行一行的Log,這邊還想看個仔細,那邊2千筆又進來了... 又不是看期貨報價盤...』
「好啦...那我等一下要看結果,你再跟我介紹...
我們董事長說的那個什麼資安攻防,聽起來,他好像沒參加哦。」
『他不是不沾鍋嗎? 他閃的遠遠的。』
「哦...總感覺這話題好沉重,那你為什麼要加入啊,我們集團的會長,是開了什麼條件嗎?」
『沒什麼事啦...差不多了,我們來看結果吧。』
(待)
2019/10/02 SunAllen
窮到只剩下時間可以用
@@~
小弟最近工作也需要接觸一點資安的東西了
把3年前買的kila kali linux 的書再翻出來,
還有ethical hacker的線上課程,買了之後就都沒看過
but...沒時間學呀, 哭哭
窮到依然沒時間可以用
能每年看到太陽大的文章真好
雖然都看不懂,感覺都可以辦「太陽大小說線上讀書會」了
看不懂反而有更多想像空間^^
至少是接觸資安的一個方向?
糜糜卯卯大大您好,謝謝您的支持,一定也是一個接觸的方向,只是描述的方法,非傳統。