昨天,我們完成了對日誌基礎概念和類型的學習。今天,我們將進入更有挑戰性的階段:日誌分析實務(Log Analysis)。這是一個從海量資料中尋找「針」的過程,也是資安分析師(Analyst)的核心技能。
今天,我專注於 TryHackMe 上 "Intro to Analysis" 相關房間的學習,目標是掌握專業的日誌過濾和異常查找技巧。
日誌分析的訣竅在於:首先建立一個正常行為的基線(Baseline),然後專注於任何偏離基線的行為。
過濾(Filtering):
面對巨大的日誌檔案,我們不能逐行閱讀。我學會了使用 grep、awk 等 Linux 指令,或在 SIEM 系統中撰寫過濾條件,來隔離出感興趣的事件。
實務應用: 專門篩選出 status=FAIL 的登入事件,或尋找包含 UNION SELECT 關鍵字的 Web 請求。
關聯分析(Correlation):
單一的日誌事件往往沒有意義,但將多個不同日誌來源的事件串聯起來,就能揭露完整的攻擊鏈。
實務應用: 將「Web 伺服器上的異常 POST 請求」與「主機上的檔案存取日誌」進行關聯,以確認是否有惡意文件被上傳並執行。
這兩天的學習,極大地強化了我的防禦者思維。日誌分析不僅是技術,更是一種思維模式。它讓我能夠站在系統管理員的角度思考:「駭客會留下什麼樣的證據?」
這也是我未來在 XDR 領域的實戰基礎。有了這層認知,我現在知道當 Wazuh 發出警報時,我應該去哪裡,用什麼指令來驗證這個警報,從而進行有效的威脅狩獵(Threat Hunting)。