# 導讀

本篇內容

您將探索日誌及其在 IDS 和 SIEM 工具中的作用。您將了解這些系統如何運作以協助網路安全團隊監控系統並偵測惡意活動。您還將了解一些 IDS 和 SIEM 產品，並練習使用工具執行查詢。

日誌的重要性

購買商品與收據

• 當您在商店購買商品時，通常會收到收據作為購買記錄。
• 收據包含交易資訊、日期和時間、收銀員姓名、商品名稱、費用和付款方式等詳細資訊。
• 不同商店的收據格式不同，例如汽車發票會有較多細節，但餐廳收據的細節通常較少。
• 儘管格式不同，所有收據都會包含與交易相關的重要細節。

日誌與收據的類比

• 日誌類似於收據，收據記錄購買情況，日誌則記錄事件或系統上的活動。
• 作為證券分析師，您將負責解釋日誌。

日誌的格式與內容

• 不同日誌的格式不同，通常包含時間戳、系統特徵（如IP位址）、事件描述及執行該行動的人等資訊。
• 日誌可以來自許多不同的資料來源，如網路設備和作業系統，這些來源會產生不同格式的日誌。

常見的日誌格式

1. Syslog

• Syslog 既是一種協議，也是一種日誌格式。
• 作為協議，它負責傳輸和寫入日誌。作為日誌格式，它包含標頭、結構化資料和訊息。
• Syslog條目包含三個部分：
  1. 標頭：包含時間戳、主機名稱、應用程式名稱及訊息ID。
  2. 結構化資料：包含附加資訊的鍵值對，例如 eventSource 指定日誌的資料來源。
  3. 訊息：詳細記錄事件的訊息內容。

2. JSON

• JSON（JavaScript 物件表示法）是一種基於文字的格式，易於閱讀與書寫，使用鍵值對來組織資料。
• JSON範例：大括號表示物件的開始與結束，物件內的資料以鍵值對的形式組織，鍵與值用冒號分隔。例如："Alert": "Malware"。
• JSON以簡單易讀著稱，證券分析師會使用JSON來讀取和寫入日誌資料。

3. XML

• XML（可擴展標記語言）是一種語言與格式，用於儲存和傳輸資料。它使用標籤來構建資料，而非鍵值對。
• XML範例：日誌條目包含四個欄位——名字、姓氏、員工ID、加入日期，這些資料以箭頭分隔。

4. CSV

• CSV（逗號分隔值）是一種使用分隔符號的格式，通常用逗號來分隔資料值。
• CSV範例：資料字段間使用逗號來分隔不同的值。

日誌格式的應用

• 理解日誌格式的多樣性後，您將專注於圍繞檢測構建日誌的上下文，並探索IDS（入侵偵測系統）的簽章如何用於偵測、記錄並警告可疑活動。

入侵偵測系統IDS(Intrusion Detection System，入侵偵測系統)

• IDS 是一個應用程式，監視活動並對可能的入侵發出警報。
• 監控系統或網絡的不同部分，如端點。

端點

• 端點是任何連接到網絡的設備（如筆記型電腦、平板電腦、桌上型電腦、智慧型手機）。
• 端點作為網絡的入口點，成為惡意行為者的主要目標。

基於主機的入侵偵測系統

• 用於監控端點是否有威脅或攻擊的技術。
• 安裝在單一主機（如筆記型電腦或伺服器）上，監控其活動以檢測可疑行為。
• 檢測到可疑活動後，將其輸出記錄為日誌並產生警報。

基於網路的入侵偵測系統

• 收集和分析網路流量和數據，類似於資料包嗅探器。
• 通常在網路中的不同點部署多個 IDS 感測器，以達到足夠的能見度。
• 偵測到可疑或異常活動時，會記錄並產生警報。

檢測方法

• 使用不同類型的檢測方法，最常見的是簽名分析。
• 簽名分析尋找感興趣的事件，根據一組規則進行監控。
• 如果活動符合簽名中的規則，IDS 會記錄並發出警報。

日誌與分析

• 在產生警報之前，必須記錄該活動。
• IDS技術記錄設備的信息，並將其作為 IDS 日誌進行監控的系統和網路。
• IDS 日誌可以發送、儲存並在集中式日誌儲存庫（如 SIEM）中進行分析。

入侵偵測系統 (IDS)

• 定義：
  • IDS 是監視系統活動並對可能的入侵發出警報的應用程式。
• 功能：
  • 協助組織監控其系統和網路上發生的活動，以識別惡意活動的跡象。
• 類型：
  • 基於主機的：可監控安裝該系統的主機。
  • 基於網路的：可監控網路流量和資料。

基於主機的入侵偵測系統 (HIDS)

• 定義：
  • HIDS 是監視安裝該系統的主機活動的應用程式，作為代理安裝在主機上。
• 功能：
  • 監控主機上的內部活動，以識別未經授權或異常的行為。
  • 如果偵測到異常（例如未經授權的應用程序安裝），HIDS 會記錄並發出警報。
• 監控範圍：
  • 除了入站和出站流量，HIDS 還可監控檔案系統、系統資源使用情況、使用者活動等。

基於網路的入侵偵測系統 (NIDS)

• 定義：
  • NIDS 是收集和監視網路流量和資料的應用程式，安裝在特定網路部分的裝置上。
• 功能：
  • 檢查來自不同設備的網路流量。
  • 如果偵測到惡意網路流量，NIDS 會記錄並產生警報。

結合使用 HIDS 和 NIDS

• 多層入侵偵測與回應方法：
  • 結合 HIDS 和 NIDS 提供環境中活動的全面視圖。
  • 為網路和連接到網路的主機上的活動提供不同的視角。

檢測技術

• 偵測方法：
  • IDS 技術常用的兩種偵測技術：
    1. 基於簽名的分析
    2. 基於異常的分析

基於簽名的分析

• 定義：

  • 簽章分析用於尋找感興趣事件，簽名是與惡意活動相關的模式。

• 簽名內容：

  • 可以包含二進位數、位元組序列或特定資料（如 IP 位址）。

• 攻擊指標 (IoC)：

  • 使用 IoC 和其他攻擊指標建立針對性的簽章，以偵測和阻止攻擊。

• 範例：

  • 反惡意軟體簽章包含與惡意軟體相關的模式，IDS 工具將監視是否有事件與簽章匹配，若匹配則記錄並產生警報。

Suricata概述

• 瞭解偵測簽名與入侵偵測系統 (IDS) Suricata。
• 探索 Suricata 的詳細資訊，學習編寫自訂簽名和配置的重要性。
• 網路安全職涯中重要的技能，負責部署和維護 IDS 工具。

蘇利卡塔簡介

• Suricata：開源的入侵偵測系統、入侵防禦系統和網路分析工具。

Suricata 特徵

1. 入侵偵測系統 (IDS)：

• 監控網路流量，對可疑活動和入侵發出警報。
• 可設定為基於主機的 IDS，監視單一主機的系統和網路活動。

2. 入侵防禦系統 (IPS)：

• 偵測和阻止惡意活動和流量。
• 需額外配置以啟用 IPS 模式。

3. 網路安全監控 (NSM)：

• 透過產生和保存相關網路日誌來協助維護網路安全。
• 可分析即時網路流量，建立和保存資料包擷取。

規則

• 規則或簽章用於識別指示惡意活動的網路流量的特定模式、行為和條件。
• 簽名分析：用於尋找感興趣事件的偵測方法，組成部分包括：
  • Action：描述符合簽章時要採取的動作（如警報、通過、丟棄、拒絕）。
  • 標頭：包括來源和目標 IP 位址、來源和目標連接埠、協定及流量方向。
  • 規則選項：提供自訂簽名的選項。

Suricata 簽名範例

• 簽名包含操作、標頭和規則選項。
• 規則選擇的順序影響評估結果，需注意規則的處理順序。

自訂規則

• 建議修改或自訂現有規則以滿足特定安全要求。
• 每個組織的 IT 基礎架構不同，需廣泛測試和修改檢測簽名。
• 自訂規則有助於減少誤報警報，提升檢測效率。

設定檔

• 必須正確配置設置以監視系統和網路。
• Suricata 的設定檔為 suricata.yaml，使用 YAML 格式。

紀錄檔案

• 觸發警報時 Suricata 會產生兩個日誌檔：
  • eve.json：包含事件和警報的詳細資訊及元資料，以 JSON 格式儲存，適合詳細分析。
  • fast.log：記錄最少的警報信息，包括基本 IP 位址和連接埠詳細資訊，適合基本日誌記錄。

主要區別

• eve.json：更詳細的日誌檔，適合事件回應。
• fast.log：記錄基本訊息，不適合深入的事件回應或威脅搜尋。

實作

任務 1: 檢查 Suricata 中的自訂規則

• 文件位置：/home/analyst/custom.rules

• 顯示規則：

  bash

  複製程式碼

  cat custom.rules

• 規則組成：

  • 行動：定義滿足條件時的操作（如 alert、drop、pass、reject）。
  • 標頭：定義網路流量的屬性（協定、來源和目標 IP、連接埠、流量方向）。
  • 規則選項：附加參數自訂簽名，包含 msg、flow、content、sid 和 rev。

任務 2: 在 Suricata 中觸發自訂規則

• 列出日誌檔案：

  bash

  複製程式碼

  ls -l /var/log/suricata

• 運行 Suricata：

  bash

  複製程式碼

  sudo suricata -r sample.pcap -S custom.rules -k none

• 命令選項：

  • -r sample.pcap：指定輸入檔來模擬網路流量。
  • -S custom.rules：指示 Suricata 使用自訂規則。
  • -k none：停用所有校驗和檢查。

任務 3: 檢查警報日誌

• 檢查 fast.log：

  • 運行 Suricata 後，fast.log 檔案將包含根據滿足的規則新增的警報行。

• 再次列出日誌檔案：

  bash

  複製程式碼

  ls -l /var/log/suricata

• 檢查 eve.json：包含更詳細的事件資訊，進一步分析警報和其他網路遙測事件。

SIEM 概述

SIEM（Security Information and Event Management）是一種安全管理解決方案，旨在實時收集、分析和管理來自不同來源的安全資訊和事件數據。以下是 SIEM 的一些關鍵特徵和功能：

1. 資料收集

• SIEM 從多種資料來源收集事件和日誌資料，包括：
  • 網路設備（例如防火牆和入侵檢測系統）
  • 伺服器和工作站
  • 應用程式和資料庫

2. 日誌分析

• SIEM 工具分析收集到的資料，尋找潛在的安全威脅和異常行為。
• 這些工具通常使用模式識別和行為分析技術來識別可疑活動。

3. 事件管理

• 當 SIEM 工具檢測到可疑活動時，它可以自動生成警報並通知安全團隊。
• 這有助於快速反應和解決潛在的安全事件。

4. 事件關聯

• SIEM 能夠將來自不同來源的事件數據進行關聯，以揭示更複雜的攻擊模式。
• 這種關聯能力有助於識別長期的、持續的威脅。

5. 報告和合規

• SIEM 提供詳細的報告功能，以滿足合規要求和內部安全政策。
• 這些報告通常包含事件摘要、趨勢分析和安全態勢的概覽。

6. 實時監控

• SIEM 提供實時的安全監控，幫助企業隨時掌握其安全狀態。
• 實時檢測和響應有助於減少潛在的損失。

7. SIEM 資料搜尋與查詢

搜尋技巧
廣泛搜尋：例如，搜尋「登入失敗」可能回傳數千個結果，並減慢搜尋引擎的回應時間。
指定參數：通過指定事件 ID 和日期時間範圍來縮小搜尋範圍，獲得更快的結果。
查詢具體性：具體的搜尋查詢有助於快速找到所需的資料。

8. SIEM 工具的搜尋方法

• 使用搜尋處理語言（SPL），提供多種搜尋選項以優化搜尋結果。
• 查詢示例：搜尋「Buttercupgames 錯誤或失敗*」來查找與「錯誤」或「失敗」相關的事件。
• 使用通配符（*）來擴大搜尋結果。

Splunk Cloud操作教學

• 啟動 Splunk Cloud 試用版

1. 點選 開始試用 按鈕。

   • Splunk Cloud 試用頁面反白顯示「開始試用」按鈕。
   • Splunk Cloud 試用頁面顯示確認訊息：“感謝您註冊，您的免費試用即將開始！”

2. 檢查您的收件匣中是否有來自 Splunk 團隊的電子郵件，主題行為「歡迎來到 Splunk Cloud Platform！」。

   • 收件箱顯示包含 Splunk Cloud Platform 歡迎電子郵件，主題行為「歡迎使用 Splunk Cloud Platform」。

3. 開啟電子郵件以存取您的 Splunk Cloud 登入資訊。

4. 點選電子郵件中的連結造訪 Splunk 雲端平台。

   • 電子郵件包含 Splunk Cloud 登入資訊。

5. 輸入電子郵件中包含的使用者名稱和密碼憑證。

   • 進入 Splunk Cloud 登入頁面。

6. 系統將提示您變更 Splunk Cloud Platform 帳號的密碼。輸入新密碼並點擊 儲存密碼。

   • Splunk Cloud 登入頁面將提示您更改密碼。

7. 勾選 我接受這些條款 旁邊的框，然後按一下確定。

   • 確認 Splunk 的服務條款協議。

• 下載和上傳 Splunk 數據

操作步驟：

• 1. 前往活動：使用 Splunk 執行查詢。
• 2. 轉至 步驟 1：取得支援材料。
  • 活動的第 1 步提供 tutorialdata.zip 檔案的下載連結。
• 3. 在支援材料連結旁邊，按一下 教程資料.zip。
• 4. 點選下載圖示下載 zip 檔案。
  • 下載頁面中顯示 tutorialdata.zip 的內容。
• 5. 前往 Splunk Home 儀表板。
• 6. 在 Splunk 欄上，按一下 設定，然後按一下 新增資料。
  • Splunk 儀表板反白顯示 設定。
• 7. 點選 上傳。
• 8. 點選 選擇檔案 上傳 tutorialdata.zip 檔。或者，您也可以將檔案拖曳到「將資料檔案拖曳到此處」方塊中。
  • Splunk Cloud 的 新增資料 頁面反白顯示 選擇檔案 按鈕和「將資料檔案拖曳到此處」部分。
• 9. 文件上傳後，點選 下一步 繼續輸入設定。
  • Splunk Cloud 的 選擇來源 頁面反白顯示 下一步 按鈕。
• 10. 在 主機 區段中，選擇 路徑中的段 並輸入 1 作為段編號。
  • Splunk Cloud 的輸入設定頁面突出顯示 路徑中的段 選項。
• 11. 按一下 審核 並在提交前檢查上傳的詳細資料。詳細資訊應如下：
  • 輸入類型：上傳文件
  • 檔案名稱：教程資料.zip
  • 來源類型：自動
  • 主機：來源路徑段號：1
  • 索引：預設
• 12. 確認詳細資料正確後，按一下 提交。
  • Splunk Cloud 的審核頁面反白顯示 提交 按鈕。
• 13. Splunk 提取資料後，您將收到一條確認訊息，表示檔案已成功上傳。
  • Splunk Cloud 的 新增資料 頁面顯示檔案上傳成功的確認訊息。
• 14. 點選 Splunk Cloud 標誌返回主頁。

結論

這篇文章討論了日誌與入侵偵測系統（IDS）的重要性，並詳細介紹了不同日誌格式及其應用，包括Syslog、JSON、XML、CSV等。文章還解釋了基於主機和網路的入侵偵測系統的工作原理、偵測技術以及如何結合這兩種系統以提供全面的安全監控。最後，文章也介紹了開源工具Suricata的功能及其使用方式，強調自訂規則和日誌檔的配置在網路安全中的重要性。

簡短結論：日誌與入侵偵測系統在網絡安全中扮演著不可或缺的角色，透過不同的日誌格式及IDS工具如Suricata，組織能更有效地監控並防範惡意行為，提高整體安全防護。