基于日志的安全分析實(shí)戰(zhàn)

背景

越來(lái)越多的企業(yè)開(kāi)始重視構(gòu)建基于日志的安全分析與防護(hù)系統(tǒng)。我們會(huì)講述如何使用日志服務(wù)從0到1收集海量日志，并從中實(shí)時(shí)篩選、甄別出可疑操作并快速分析，進(jìn)一步構(gòu)建安全大盤(pán)與可視化。并通過(guò)實(shí)戰(zhàn)方式，演練覆蓋幾個(gè)典型安全分析場(chǎng)景。

?

目標(biāo)

了解日志服務(wù)對(duì)于安全日志分析的場(chǎng)景的支持。

通過(guò)演練，了解如何使用日志服務(wù)進(jìn)行典型安全場(chǎng)景的威脅識(shí)別與分析，包括：

• 場(chǎng)景一：主機(jī)被暴力破解與異常登錄識(shí)別
• 場(chǎng)景二：數(shù)據(jù)庫(kù)被SQL攻擊與拖庫(kù)識(shí)別
• 場(chǎng)景三：Web服務(wù)被CC攻擊的行為分析

了解如何構(gòu)建安全大盤(pán)與可視化。

議程

現(xiàn)場(chǎng)產(chǎn)品介紹（5~8分鐘）

準(zhǔn)備工作（2分鐘）

實(shí)戰(zhàn)練習(xí)與問(wèn)答（~20分鐘）

準(zhǔn)備工作

您需要一臺(tái)能夠上網(wǎng)的筆記本

現(xiàn)場(chǎng)會(huì)發(fā)送【測(cè)試賬號(hào)】給各位

• 注意：每一個(gè)獨(dú)立的測(cè)試賬號(hào)，都已經(jīng)預(yù)先準(zhǔn)備好了環(huán)境數(shù)據(jù)和部分參考配置，以便大家更高效的完成實(shí)戰(zhàn)。

打開(kāi)瀏覽器（推薦Chrome），跳轉(zhuǎn)到日志服務(wù)控制臺(tái)，根據(jù)提示，輸入賬號(hào)信息登錄即可。

跳轉(zhuǎn)到預(yù)先準(zhǔn)備好的項(xiàng)目yq201809-阿里云ID

• 直達(dá)鏈接（需要替換掉阿里云ID）：https://sls.console.aliyun.com/#/project/yq201809-阿里云ID/categoryList

跳轉(zhuǎn)到預(yù)先準(zhǔn)備好的日志庫(kù)yq-demo的查詢頁(yè)面即可：

• 直達(dá)鏈接（需要替換掉阿里云ID）：https://sls.console.aliyun.com/next/project/yq201809-阿里云ID/logsearch/yq-demo

步驟

場(chǎng)景一：主機(jī)被暴力破解與異常登錄識(shí)別

1. 查看登錄日志

在查詢界面輸入如下，即可看到主機(jī)登錄的日志：

__topic__ : winlogin

日志的結(jié)構(gòu)如下：

__topic__: winlogin // 日志主題：登錄日志為winlogin client_ip: 197.210.226.56 // 登錄客戶端IP result: success // 登錄結(jié)果：success / fail target: host4.test.com // 被登錄的機(jī)器 target_type: server // 機(jī)器類(lèi)型 server（服務(wù)器）, normal type: ssh // 登錄方式：ssh, rdp user: admin // 登錄賬戶

2. 識(shí)別暴力破解

任務(wù)：通過(guò)SQL關(guān)聯(lián)分析，識(shí)別暴力破解
邏輯：特定服務(wù)器被連續(xù)失敗登錄后有一個(gè)成功登錄
參考：可以參考預(yù)先配置好的【快速查詢】：暴力破解

3. 識(shí)別異常登錄

任務(wù)：通過(guò)SQL地理函數(shù)與安全函數(shù)分析登錄地址，識(shí)別異常登錄
邏輯：平時(shí)服務(wù)器都是從中國(guó)區(qū)或者美國(guó)（VPN)登入，出現(xiàn)了從其他國(guó)外登入的IP，且改IP為感染IP。
參考：可以參考預(yù)先配置好的【快速查詢】：異常登錄

4. 構(gòu)建登錄安全大屏

任務(wù)：通過(guò)地圖圖表構(gòu)建登錄儀表盤(pán)，將潛在風(fēng)險(xiǎn)加入儀表盤(pán)
參考：可以參考預(yù)先配置好的【儀表盤(pán)】：場(chǎng)景一：....

場(chǎng)景二：數(shù)據(jù)庫(kù)被SQL攻擊與拖庫(kù)識(shí)別

1. 查看登錄日志

在查詢界面輸入如下，即可看到mysql的SQL執(zhí)行日志：

__topic__ : mysql

日志的結(jié)構(gòu)如下：

__topic__: mysql // 日志主題：SQL執(zhí)行日志為mysql sql: SELECT * FROM accounts WHERE id >= 20000 and id < 30000 limit 10000 // 執(zhí)行的SQL target: db1.abc.com // 數(shù)據(jù)庫(kù)服務(wù)器 db_name: crm_system // 數(shù)據(jù)庫(kù) table_name: accounts // 表格 sql_type: select // SQL類(lèi)型： select, update, delete等 user: op_user1 // 執(zhí)行SQL的用戶 client_ip: 1.2.3.4 // 連接執(zhí)行的客戶端IP affected_rows: 10000 // 影響的函數(shù)，例如返回的行數(shù) response_time: 1210 // 執(zhí)行的響應(yīng)時(shí)間（毫秒）

2. 識(shí)別SQL攻擊

任務(wù)：通過(guò)SQL解析，識(shí)別SQL攻擊
邏輯：黑客通過(guò)獲取了數(shù)據(jù)庫(kù)賬戶（或者通過(guò)SQL注入），執(zhí)行了一系列的SQL語(yǔ)句，將病毒寫(xiě)入服務(wù)器磁盤(pán)。（例如dumpfile into）
參考：可以參考預(yù)先配置好的【快速查詢】：SQL攻擊

3. 識(shí)別拖庫(kù)

任務(wù)：通過(guò)SQL統(tǒng)計(jì)，識(shí)別SQL拖庫(kù)
邏輯：黑客通過(guò)獲取了數(shù)據(jù)庫(kù)賬戶，執(zhí)行了一系列的SELECT的SQL語(yǔ)句，將重要表格（例如賬戶、訂單信息）拖出。
參考：可以參考預(yù)先配置好的【快速查詢】：數(shù)據(jù)庫(kù)拖庫(kù)

4. 構(gòu)建數(shù)據(jù)庫(kù)安全大屏

任務(wù)：結(jié)合前面的規(guī)則，構(gòu)建自己的數(shù)據(jù)庫(kù)安全大屏
參考：可以參考預(yù)先配置好的【儀表盤(pán)】：場(chǎng)景二：....

場(chǎng)景三：Web服務(wù)被CC攻擊的行為分析

1. 查看登錄日志

在查詢界面輸入如下，即可看到DDoS高防的訪問(wèn)與攻擊日志：

__topic__ : ddos_access_log

參考DDoS高防訪問(wèn)日志格式.

2. 識(shí)別CC攻擊規(guī)則

任務(wù)：查看CC攻擊目標(biāo)站點(diǎn)與特點(diǎn)
邏輯：CC攻擊的日志通過(guò)cc_blocks > 0可以獲得
參考：可以參考預(yù)先準(zhǔn)備好的場(chǎng)景三：... DDoS的運(yùn)營(yíng)中心與訪問(wèn)中心儀表盤(pán).

3. 查看DDoS安全大盤(pán)

查看現(xiàn)有儀表盤(pán)，修改并調(diào)整DDoS安全大盤(pán)：

預(yù)覽:
?

?

原文鏈接
本文為云棲社區(qū)原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載。

總結(jié)

以上是生活随笔為你收集整理的2018年9月杭州云栖大会Workshop - 基于日志的安全分析实战的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。