iT邦幫忙

2025 iThome 鐵人賽

DAY 23
0
Security

資安菜鳥的30天挑戰系列 第 23

[DAY23]每天的日記!

  • 分享至 

  • xImage
  •  

日誌是甚麼?

📌 記錄誰進來、什麼時間、做了什麼

如果你沒有日誌,發生壞事後就像沒監視器、沒目擊者,什麼都查不到

監控就是不斷看日誌,當出現「怪怪的行為」時系統會響警報

事件應變就是有人收到警報後,照步驟處理(遇到火警要疏散、滅火、檢查原因)

攻擊方

  • 避免留下日誌:刪除或修改日誌、調整時間戳、用合法流程掩護活動
  • 利用噪音掩護:同時發動大量低級活動讓告警被淹沒
  • 使用已授權帳號或合法工具執行動作,減低被發現機會
  • 若取得遠端存取,先探查日誌位址、權限,再嘗試關閉或篡改收集 agent

防禦方

  • 把日誌集中化:把端點、網路、應用、身分、雲端日誌都送到 SIEM / Logs platform(不可只留在個機器)
  • 保護日誌完整性:使用 WORM、append-only、遠端寫入與存留策略(防止被刪除或竄改)
  • 設計偵測規則:異常登入、權限提昇、資料大量匯出、日誌刪除
  • 建立 IR Playbook:包含偵測 → 分級 → 隔離 → 取證 → 修復 → 回溯 → 通報
  • 定期演練:驗證流程是否可行、角色是否清楚

日誌來源

  1. 身份與認證日誌(Auth)
    • IdP、SSO、LDAP、AD、OAuth logs
    • 因為多數 ATO/DTO 起點在憑證或 MFA,先看登入異常
  2. 端點日誌(Endpoint)
    • EDR、Antivirus、Windows Event Logs、syslog
    • 偵測惡意程式、異常進程啟動、可疑命令執行
  3. 應用程式日誌(App)
    • Web server logs (nginx/apache)、API gateway、應用日誌
    • 偵測 SQLi、XSS 嘗試、異常 API 使用
  4. 網路流量/代理日誌
    • 防火牆、IDS/IPS、proxy、load balancer
    • 偵測外部 C2、DDoS、異常大量資料外傳

常見偵測

  1. 大量失敗登入後的成功登入

    同一帳號在 5 分鐘內 ≥ 10 次失敗後出現成功登入

  2. 短時間內來自不同國家/城市的登入成功(Impossible Travel)

    同一帳號在短時(2 小時)內於兩地登入(距離不合理)

  3. 非互動式帳號執行交互式命令或外連

    系統服務帳號啟動 shell 或建立外部 TCP 連線

  4. 大量資料匯出/下載

    某帳號或服務在短時間下載超過閾值(MB / 檔案數)

  5. 日誌刪除或停用 agent

    偵測到 auditd / agent 停止、logrotate 非預期、或日誌目錄被刪除

  6. 異常 process spawn(PowerShell / cmd / bash)

    非預期使用者在工作時間外執行 PowerShell 並下載外部 URL

應變

  1. 偵測:SIEM 告警/使用者通報
  2. 分級:確認告警真假、評估影響範圍(哪個系統/帳號)
  3. 隔離:隔離受影響主機、停用帳號、暫停服務路徑
  4. 取證:保存記憶體映像、log、現場證據(時間戳一致)
  5. 消除與修復:移除惡意程式、重設憑證、修補漏洞
  6. 回顧與改進:更新 playbook、改進偵測

結論

📌 沒有良好的日誌蒐集與分析,部署了再多的防禦也難以阻止正在發生的攻擊

建立集中化、受保護且完整的日誌系統

針對高風險場景的偵測規則(大量失敗登入→成功登入、日誌刪除、異常資料匯出)

及早發現異常、快速應變並保留完整證據供鑑識使用

事件應變:偵測 → 隔離 → 取證 → 修復 → 回顧


上一篇
[DAY22]我來送菜了!
系列文
資安菜鳥的30天挑戰23
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言