iT邦幫忙

2025 iThome 鐵人賽

DAY 19
0
Security

30 天 TryHackMe 實戰系列 第 19

Day 19 防禦基礎 (II),日誌分析實務

  • 分享至 

  • xImage
  •  

昨天,我們完成了對日誌基礎概念和類型的學習。今天,我們將進入更有挑戰性的階段:日誌分析實務(Log Analysis)。這是一個從海量資料中尋找「針」的過程,也是資安分析師(Analyst)的核心技能。

今天,我專注於 TryHackMe 上 "Intro to Analysis" 相關房間的學習,目標是掌握專業的日誌過濾和異常查找技巧。


日誌分析的核心思維:從模式中找異常

日誌分析的訣竅在於:首先建立一個正常行為的基線(Baseline),然後專注於任何偏離基線的行為。

  • 過濾(Filtering)
    面對巨大的日誌檔案,我們不能逐行閱讀。我學會了使用 grep、awk 等 Linux 指令,或在 SIEM 系統中撰寫過濾條件,來隔離出感興趣的事件。
    實務應用: 專門篩選出 status=FAIL 的登入事件,或尋找包含 UNION SELECT 關鍵字的 Web 請求。

  • 關聯分析(Correlation)
    單一的日誌事件往往沒有意義,但將多個不同日誌來源的事件串聯起來,就能揭露完整的攻擊鏈。
    實務應用: 將「Web 伺服器上的異常 POST 請求」與「主機上的檔案存取日誌」進行關聯,以確認是否有惡意文件被上傳並執行。

專業尋找異常的線索

  • 地域異常(Geographic Anomaly): 尋找使用者突然從不尋常的國家或地區登入的記錄。
  • 時間異常(Time-Based Anomaly): 尋找使用者或程式在非工作時間進行活動的記錄。
  • 高頻率異常(Frequency Anomaly): 偵測單一使用者或 IP 在短時間內產生大量失敗的活動,這往往是暴力破解或掃描的跡象。

今日挑戰心得:防禦者思維的建立

這兩天的學習,極大地強化了我的防禦者思維。日誌分析不僅是技術,更是一種思維模式。它讓我能夠站在系統管理員的角度思考:「駭客會留下什麼樣的證據?」

這也是我未來在 XDR 領域的實戰基礎。有了這層認知,我現在知道當 Wazuh 發出警報時,我應該去哪裡,用什麼指令來驗證這個警報,從而進行有效的威脅狩獵(Threat Hunting)。


上一篇
Day 18 防禦基礎 (I),深入理解系統日誌
下一篇
Day 20 提權基礎,Linux 核心權限提升實務
系列文
30 天 TryHackMe 實戰20
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言