iT邦幫忙

Eugene
iT邦研究生 5 級 ‧ 點數 1775
ABC公司
64633
累計瀏覽數
站內簡訊 追蹤

鐵人檔案

2024 iThome 鐵人賽
回列表
Security

資安日誌分析 系列

一步一步分析各種不同操作行為會產生什麼日誌紀錄,以便後續分析及建立告警

鐵人鍊成 | 共 30 篇文章 | 4 人訂閱 訂閱系列文 RSS系列文
0 Like 0 留言 107 瀏覽
DAY 21

21. Linux Log分析(Ubuntu)

說明 本章看一下Linux各個Log的內容 作法 ubuntu 和centos/redhat 日誌有所不同 Ubuntu 18 /var/log/boot.lo...

2024-10-05 ‧ 由 Eugene 分享
0 Like 0 留言 119 瀏覽
DAY 22

22. Linux 日誌處理(RSYSLOG)

說明 Rsyslog is a rocket-fast system for log processing.大部分的Linux都預設載入rsyslog用於高效處...

2024-10-06 ‧ 由 Eugene 分享
0 Like 0 留言 75 瀏覽
DAY 23

23. Linux 驗證日誌

說明 這章紀錄一下ubuntu下驗證登入等高權行為產生的日誌 作法 登入畫面解鎖 ubuntu 預設使用GDM(GNOME Display Manager)圖形...

2024-10-07 ‧ 由 Eugene 分享
0 Like 0 留言 93 瀏覽
DAY 24

24. Linux提權(Pkexec)

說明 嘗試使用本地權限提升的漏洞,看看有什麼Eventlog 作法 Pkexec 切換身分執行命令 pkexec允許授權使用者以另一個使用者的身分執行程式。如果...

2024-10-08 ‧ 由 Eugene 分享
0 Like 0 留言 143 瀏覽
DAY 25

25. Linux強化端點日誌 (Auditctl)

說明 我們想要看到更多監控稽核日誌,來幫我們找到異常問題 作法 使用auditctl,查看一下上一章Pkexec提權的日誌 增加規則,設定檔路徑/etc/aud...

2024-10-09 ‧ 由 Eugene 分享
0 Like 0 留言 82 瀏覽
DAY 26

26. Linux 提權(Cronjob)

說明 與Windows相同,排程常常被駭客利用建立後門及提權,時常監控異動是非常重要的 作法 情境 主機有一個cronjob 每10分鐘監控安裝套件的清單 */...

2024-10-10 ‧ 由 Eugene 分享
1 Like 0 留言 124 瀏覽
DAY 27

27. SQL Injection分析 (sqlmap)

說明 從解密過的封包可以看到很多操作紀錄,一些IPS就有許多規則比對,攔阻惡意行為,這章來比較一下與網頁日誌有什麼差別 作法 啟動DVWA docker r...

2024-10-11 ‧ 由 Eugene 分享
0 Like 0 留言 89 瀏覽
DAY 28

28. SQL Injection偵測(Snort)

說明 主機遭受SQL Injection時,因為攻擊方要探查環境資訊,通常會有大量異常請求,這章來看一下用IDS/IPS從網路封包能看到什麼,產生什麼日誌 作法...

2024-10-12 ‧ 由 Eugene 分享
0 Like 0 留言 96 瀏覽
DAY 29

29. SQL Injection 規避偵測(Coraza)

說明 Snort 這類IDS/IPS為了傳輸效能,通常比對沒問題就放行了,因此針對網站等服務就有WAF來進行應用層行為偵測阻擋 作法 Snort 攻擊方使用ba...

2024-10-13 ‧ 由 Eugene 分享
0 Like 0 留言 92 瀏覽
DAY 30

30. 總結

本次從各種平台、資安設備去了解日誌大致內容、查看的方式、存放的地方、取出的方法,當然現今已經有許多產品幫我們整合在一起,並建立了許多偵測規則,這都是研究員去分析...

2024-10-14 ‧ 由 Eugene 分享
Eugene的鐵人檔案
Eugene的收藏
Eugene的追蹤
Eugene的Like
Eugene的紀錄
Eugene的訂閱列表