基于日志的安全分析實戰

背景

越來越多的企業開始重視構建基于日志的安全分析與防護系統。我們會講述如何使用日志服務從0到1收集海量日志，并從中實時篩選、甄別出可疑操作并快速分析，進一步構建安全大盤與可視化。并通過實戰方式，演練覆蓋幾個典型安全分析場景。

?

目標

了解日志服務對于安全日志分析的場景的支持。

通過演練，了解如何使用日志服務進行典型安全場景的威脅識別與分析，包括：

• 場景一：主機被暴力破解與異常登錄識別
• 場景二：數據庫被SQL攻擊與拖庫識別
• 場景三：Web服務被CC攻擊的行為分析

了解如何構建安全大盤與可視化。

議程

現場產品介紹（5~8分鐘）

準備工作（2分鐘）

實戰練習與問答（~20分鐘）

準備工作

您需要一臺能夠上網的筆記本

現場會發送【測試賬號】給各位

• 注意：每一個獨立的測試賬號，都已經預先準備好了環境數據和部分參考配置，以便大家更高效的完成實戰。

打開瀏覽器（推薦Chrome），跳轉到日志服務控制臺，根據提示，輸入賬號信息登錄即可。

跳轉到預先準備好的項目yq201809-阿里云ID

• 直達鏈接（需要替換掉阿里云ID）：https://sls.console.aliyun.com/#/project/yq201809-阿里云ID/categoryList

跳轉到預先準備好的日志庫yq-demo的查詢頁面即可：

• 直達鏈接（需要替換掉阿里云ID）：https://sls.console.aliyun.com/next/project/yq201809-阿里云ID/logsearch/yq-demo

步驟

場景一：主機被暴力破解與異常登錄識別

1. 查看登錄日志

在查詢界面輸入如下，即可看到主機登錄的日志：

__topic__ : winlogin

日志的結構如下：

__topic__: winlogin // 日志主題：登錄日志為winlogin client_ip: 197.210.226.56 // 登錄客戶端IP result: success // 登錄結果：success / fail target: host4.test.com // 被登錄的機器 target_type: server // 機器類型 server（服務器）, normal type: ssh // 登錄方式：ssh, rdp user: admin // 登錄賬戶

2. 識別暴力破解

任務：通過SQL關聯分析，識別暴力破解
邏輯：特定服務器被連續失敗登錄后有一個成功登錄
參考：可以參考預先配置好的【快速查詢】：暴力破解

3. 識別異常登錄

任務：通過SQL地理函數與安全函數分析登錄地址，識別異常登錄
邏輯：平時服務器都是從中國區或者美國（VPN)登入，出現了從其他國外登入的IP，且改IP為感染IP。
參考：可以參考預先配置好的【快速查詢】：異常登錄

4. 構建登錄安全大屏

任務：通過地圖圖表構建登錄儀表盤，將潛在風險加入儀表盤
參考：可以參考預先配置好的【儀表盤】：場景一：....

場景二：數據庫被SQL攻擊與拖庫識別

1. 查看登錄日志

在查詢界面輸入如下，即可看到mysql的SQL執行日志：

__topic__ : mysql

日志的結構如下：

__topic__: mysql // 日志主題：SQL執行日志為mysql sql: SELECT * FROM accounts WHERE id >= 20000 and id < 30000 limit 10000 // 執行的SQL target: db1.abc.com // 數據庫服務器 db_name: crm_system // 數據庫 table_name: accounts // 表格 sql_type: select // SQL類型： select, update, delete等 user: op_user1 // 執行SQL的用戶 client_ip: 1.2.3.4 // 連接執行的客戶端IP affected_rows: 10000 // 影響的函數，例如返回的行數 response_time: 1210 // 執行的響應時間（毫秒）

2. 識別SQL攻擊

任務：通過SQL解析，識別SQL攻擊
邏輯：黑客通過獲取了數據庫賬戶（或者通過SQL注入），執行了一系列的SQL語句，將病毒寫入服務器磁盤。（例如dumpfile into）
參考：可以參考預先配置好的【快速查詢】：SQL攻擊

3. 識別拖庫

任務：通過SQL統計，識別SQL拖庫
邏輯：黑客通過獲取了數據庫賬戶，執行了一系列的SELECT的SQL語句，將重要表格（例如賬戶、訂單信息）拖出。
參考：可以參考預先配置好的【快速查詢】：數據庫拖庫

4. 構建數據庫安全大屏

任務：結合前面的規則，構建自己的數據庫安全大屏
參考：可以參考預先配置好的【儀表盤】：場景二：....

場景三：Web服務被CC攻擊的行為分析

1. 查看登錄日志

在查詢界面輸入如下，即可看到DDoS高防的訪問與攻擊日志：

__topic__ : ddos_access_log

參考DDoS高防訪問日志格式.

2. 識別CC攻擊規則

任務：查看CC攻擊目標站點與特點
邏輯：CC攻擊的日志通過cc_blocks > 0可以獲得
參考：可以參考預先準備好的場景三：... DDoS的運營中心與訪問中心儀表盤.

3. 查看DDoS安全大盤

查看現有儀表盤，修改并調整DDoS安全大盤：

預覽:
?

?

原文鏈接
本文為云棲社區原創內容，未經允許不得轉載。

總結

以上是生活随笔為你收集整理的2018年9月杭州云栖大会Workshop - 基于日志的安全分析实战的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。