2018年9月杭州雲棲大會Workshop
基於日誌的安全分析實戰
背景
越來越多的企業開始重視構建基於日誌的安全分析與防護系統。我們會講述如何使用日誌服務從0到1收集海量日誌,並從中實時篩選、甄別出可疑操作並快速分析,進一步構建安全大盤與視覺化。並通過實戰方式,演練覆蓋幾個典型安全分析場景。
目標
- 瞭解日誌服務對於安全日誌分析的場景的支援。
-
通過演練,瞭解如何使用日誌服務進行典型安全場景的威脅識別與分析,包括:
- 場景一:主機被暴力破解與異常登入識別
- 場景二:資料庫被SQL攻擊與拖庫識別
- 場景三:Web服務被CC攻擊的行為分析
- 瞭解如何構建安全大盤與視覺化。
議程
- 現場產品介紹(5~8分鐘)
- 準備工作(2分鐘)
- 實戰練習與問答(~20分鐘)
準備工作
- 您需要一臺能夠上網的筆記本
-
現場會發送【測試賬號】給各位
- 注意:每一個獨立的測試賬號,都已經預先準備好了環境資料和部分參考配置,以便大家更高效的完成實戰。
- 開啟瀏覽器(推薦Chrome),跳轉到日誌服務控制檯,根據提示,輸入賬號資訊登入即可。
步驟
場景一:主機被暴力破解與異常登入識別
1. 檢視登入日誌
在查詢介面輸入如下,即可看到主機登入的日誌:
__topic__ : winlogin
日誌的結構如下:
__topic__: winlogin // 日誌主題:登入日誌為winlogin client_ip: 197.210.226.56 // 登入客戶端IP result: success // 登入結果:success / fail target: host4.test.com // 被登入的機器 target_type: server // 機器型別 server(伺服器), normal type: ssh // 登入方式:ssh, rdp user: admin // 登入賬戶
2. 識別暴力破解
任務:通過SQL關聯分析,識別暴力破解邏輯:特定伺服器被連續失敗登入後有一個成功登入參考:可以參考預先配置好的【快速查詢】:暴力破解
3. 識別異常登入
任務:通過SQL地理函式與安全函式分析登入地址,識別異常登入邏輯:平時伺服器都是從中國區或者美國(VPN)登入,出現了從其他國外登入的IP,且改IP為感染IP。參考:可以參考預先配置好的【快速查詢】:異常登入
4. 構建登入安全大屏
任務:通過地圖圖表構建登入儀表盤,將潛在風險加入儀表盤參考:可以參考預先配置好的【儀表盤】:場景一:....
場景二:資料庫被SQL攻擊與拖庫識別
1. 檢視登入日誌
在查詢介面輸入如下,即可看到mysql的SQL執行日誌:
__topic__ : mysql
日誌的結構如下:
__topic__: mysql // 日誌主題:SQL執行日誌為mysql
sql: SELECT * FROM accounts WHERE id >= 20000
and id < 30000 limit 10000 // 執行的SQL
target: db1.abc.com // 資料庫伺服器
db_name: crm_system // 資料庫
table_name: accounts // 表格
sql_type: select // SQL型別: select, update, delete等
user: op_user1 // 執行SQL的使用者
client_ip: 1.2.3.4 // 連線執行的客戶端IP
affected_rows: 10000 // 影響的函式,例如返回的行數
response_time: 1210 // 執行的響應時間(毫秒)
2. 識別SQL攻擊
任務:通過SQL解析,識別SQL攻擊邏輯:黑客通過獲取了資料庫賬戶(或者通過SQL注入),執行了一系列的SQL語句,將病毒寫入伺服器磁碟。(例如dumpfile into
)參考:可以參考預先配置好的【快速查詢】:SQL攻擊
3. 識別拖庫
任務:通過SQL統計,識別SQL拖庫邏輯:黑客通過獲取了資料庫賬戶,執行了一系列的SELECT的SQL語句,將重要表格(例如賬戶、訂單資訊)拖出。參考:可以參考預先配置好的【快速查詢】:資料庫拖庫
4. 構建資料庫安全大屏
任務:結合前面的規則,構建自己的資料庫安全大屏參考:可以參考預先配置好的【儀表盤】:場景二:....
場景三:Web服務被CC攻擊的行為分析
1. 檢視登入日誌
在查詢介面輸入如下,即可看到DDoS高防的訪問與攻擊日誌:
__topic__ : ddos_access_log
參考DDoS高防訪問日誌格式.
2. 識別CC攻擊規則
任務:檢視CC攻擊目標站點與特點邏輯:CC攻擊的日誌通過cc_blocks > 0
可以獲得參考:可以參考預先準備好的場景三:... DDoS的運營中心
與訪問中心
儀表盤.
3. 檢視DDoS安全大盤
檢視現有儀表盤,修改並調整DDoS安全大盤:
預覽:
原文連結 本文為雲棲社群原創內容,未經允許不得轉載。