iT邦幫忙

2

Windows Event Log 分析

  • 分享至 

  • xImage

各位先進好

小弟因為工作需要,需定期針對公司內部用戶端電腦的Windows log做分析找出潛在資安問題(特定的EventID,如特權帳號登入、USB使用、異常登入時間等),
目前我的做法是透過AD派送工作排程,在用戶端背景執行我自己撰寫的執行檔,匯出Windows Event log(Application、Security及System)並透過字串擷取,將各個資訊(EventID、Log Name與Description)的值回傳到後端資料庫做數據分析。

目前資料都可以正常回傳到後端資料庫,不過因為小弟這邊對後續的資料處理技術並不熟,導致有資料卻無法針對上述想分析的問題進行分析。

請問各位先進公司內部是否也有針對Windows Event Log進行分析,是否有相關方法或程式能夠定期自動化回傳用戶端電腦的Windows Event Log,並執行分析與把相關分析圖形化,又或者我能夠使用何種程式語言或參考資源學習如何分析,謝謝大家提供經驗與建議!!

Franky Chen iT邦研究生 3 級 ‧ 2020-04-25 16:41:28 檢舉
https://www.netadmin.com.tw/netadmin/zh-tw/technology/067C15FA75FC42AE9A992D263CA1D146
graylog
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

4
Ray
iT邦大神 1 級 ‧ 2020-04-25 17:28:19

人家已經發明過輪子了, 拿來用就好, 不必每件事都自己發明:
Wazuh
鐵人賽也有人寫過安裝方法:
3-5.監控工具之三:Elastic + Wazuh

以下是我自己的 Win10 桌機, 過去 30 天的 Wazuh 安全監測分析:
(這些只用到內建的預設分析功能, 都還沒自己寫 Script 或儀表)

安全事件統計:
https://ithelp.ithome.com.tw/upload/images/20200425/20026603fsAmKwO3ou.png

完整性監控, 以下包含他偵測到:

  • GPO 被變更
  • 檔案 checksum 變動
  • 有軟體被安裝
  • 有檔案被加入系統
  • 多種 Windows Error
    https://ithelp.ithome.com.tw/upload/images/20200425/20026603Rwc0rWIRrp.png

合規監控, 包含:

  • PCI-DSS
  • GDPR
  • HIPAA
  • NIST 800-53
    https://ithelp.ithome.com.tw/upload/images/20200425/20026603e7Br71oXrB.png

Wazuh 或 ELK 都可以免錢先用, 且 log 進了 ELK 之後, 你想做甚麼變化的分析都可以, 內建沒有的, 可以透過自寫 Script 來處理, 不限定在 Wazuh 能夠提供的分析種類, 儀錶板顯示項目也可以透過 ELK 的功能來自定...

看更多先前的回應...收起先前的回應...
wizard828 iT邦新手 5 級 ‧ 2020-04-27 10:09:10 檢舉

請問
PCD-DSS是不是指PCI-DSS
HIPPA是不是指HIPAA

Ray iT邦大神 1 級 ‧ 2020-04-27 11:18:04 檢舉

是的, 感謝指正..

謝謝大神推薦,目前正在多方嘗試中,想請教一下,針對完整性監控的結果,我有辦法連結到其後端資料庫提取資料跟其他系統的資料表做數據分析嗎?

Ray iT邦大神 1 級 ‧ 2020-04-28 11:31:00 檢舉

可以, ELK 的資料庫是開放的, 你可以透過 Elasticsearch 工具或 API 去撈....
REST APIs

2

以下提供拙作供參考


第一種方案:Graylog + NXLog CE


第二種方案:OSSIM

Jason Cheng (節省哥)感謝你提供的資訊,
您的許多文章我都有拜讀過(包含這幾篇,我也在公司內部建立了LibreNMS這一套,效果非常不錯),也有試著架設相關伺服器,
以NXLog CE來說,他需要用戶端完成安裝程序後,
再進行config檔案的編輯以達成log回傳Graylog server的成果,
我的疑問在於,以實務面來說,公司內部的電腦數量達2~3000部,基本上我無法要求所有用戶端電腦都照著這個流程安裝這個Agent,有辦法透過AD網域派送的方式配合.bat、powershell等,來達成大量用戶電腦派送、安裝及設定的目的嗎?

我要發表回答

立即登入回答