日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程资源 > 编程问答 >内容正文

编程问答

应急响应(日志/流量)

發布時間:2023/12/14 编程问答 35 豆豆
生活随笔 收集整理的這篇文章主要介紹了 应急响应(日志/流量) 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

事件分類

  • 有害程序事件
  • 網絡攻擊事件
  • 信息破壞事件
  • 事件內容安全事件
  • 設備設施故障事件
  • 災害性事件
  • 其它事件

    • 應急響應工作流程

    準備階段

    • 應急團隊建設
    • 應急方案制定
    • 等級保護測評

    檢測階段

    • 判斷安全設備告警
    • 判斷事件類型
    • 判斷事件級別
    • 確定應急方案

    抑制階段

    • 阻斷:封禁IP、斷開網絡連接.隔離失陷主機
    • 排查:排查可疑進程、排查可疑服務、審計各類日志、排查可疑賬戶、排查可疑文件

    根除階段

    • 修復:系統漏洞.網站漏洞
    • 更新:安全策略、威脅情報
    • 還原:操作系統.業務系統

    恢復階段

    • 恢復:恢復網絡通信、恢復業務系統

    總結階段

    • 應急報告輸出
    • 事件會議總結
    • 應急工作優化

    日志分析簡介

    日志:日志文件為服務器、工作站、防火墻和應用軟件等IT資源相關活動記錄必要的、有價值的信息。日志文件中的記錄可提供以下用途:監控系統資源;審計用戶行為;對可疑行為進行告警;確定入侵行為的范圍;為恢復系統提供幫助;生成調查報告;為打擊計算機犯罪提供證據來源。

    日志分析的目的:
    在安全事件的應急處置中,日志分析的目的很明確,就是要對攻擊行為進行溯源。
    攻擊者IP:定位攻擊者,用于抓捕或者進一步溯源
    攻擊范圍、攻擊流程:摸清攻擊行為,尋找過程中的安全薄弱點,進行加固防范利用的脆弱點:針對性的進行漏洞加固

    日志分析常見流程

    1、信息收集:為什么要做信息收集

    • 事件造成的影響:確定影響面
    • 事件發生的時間:鎖定時間節點利于溯源分析
    • 主機情況(網絡拓撲、承載信息系統、賬號信息等)︰猜測攻擊者攻擊行為,確認需要分析的日志范圍

    2、日志分析:

    • 操作系統日志分析
    • Web訪問日志分析
    • 其他組件日志分析

    3、日志分析整理:

    • 攻擊路徑
    • 受影響主機
    • 系統攻擊者信息

    windows日志審計類別

    日志審計是應急響應中很重要的一個部分,那么在windows下通常會對應用程序日志、安全日志以及系統日志進行審計。

    • 系統日志(System.evtx)︰系統日志是記錄系統中硬件、軟件和系統問題的信息,用戶可以通過它來檢查錯誤發生的原因,或者尋找受到攻擊時攻擊者留下的痕跡。
    • 應用程序日志(Application.evtx)︰記錄程序在運行過程中的日志信息。
    • 安全日志(Security.evtx)︰登錄日志、對象訪問日志、進程追蹤日志、特權使用、帳號管理、策略變更、系統事件。安全日志也是調查取證中最常用到的日志。

    打開日志審計策略

    在默認情況下,安全日志僅僅只記錄一些簡單的登錄日志,因為安全日志會隨著計算機的使用時間而不斷增長,占用使用空間。所以若我們需要記錄詳細的安全日志,則需要通過修改本地策略來啟用其它項的安全日志記錄功能。

    • 通過win+r -> gpedit.msc打開本地策略編輯器:

    日志清除記錄:事件ID-1102

    在windows中,若運維人員開啟了記錄所有安全日志項,那么攻擊者在拿到該服務器權限后的所有操作都可以在該安全日志中被記錄到。所以清空該Security日志肯定是一個善后的必然選擇。

    • 通過cmd清除日志:C:\Windows\system32> wevtutil cl "logname"

    ?windows常見日志實踐ID

    1102:日志清除 4720:添加用戶 4726:刪除用戶 4624:登入 4634:注銷 4625:登錄失敗事件 4732:將創建的用戶加入到用戶組中 4733:則是查看用戶從哪個組中移除了 該事件記錄信息中,計劃任務schtasks以及at都會被記錄在內:包括創建者、任務名稱、任務內容等。 4698:計劃任務已創建 4699:計劃任務已刪除 4700:計劃任務已啟用 4701:計劃任務已停用 4702:計劃任務已更新

    日志路徑:
    C:\Windows\System32\winevt\Logs

    logparser使用

    EventID ?事件ID
    TimeGenerated 時間
    Strings

    命令:

    LogParser.exe -i:evt -o:datagrid "select * from sec.evtx where EventID='4624' and TimeGenerated>'2022-03-24 10:00:00'"

    ?

    ?

    Linux登錄日志

    Linux系統日志

    登錄認證日志:通過分析/var/log/secure文件,我們可以得到登錄信息,包含驗證和授權方面的信息,sshd會將所有信息都記錄其中,包括登錄失敗的信息。secure日志會隨著時間為結尾名來進行分量保存,以防止文件過大。

    apache日志分析

    在http.conf中開啟日志

    ?日志文件存放在apache/logs下,access.log為訪問日志

    ?mysql日志

    set global general_log=on;set global general_log_file='C:/phpStudy/WWW/789.php';select '<?php eval($_POST['a']) ?>';

    wireshark

    ip.dst==192.168.32.132

    ip.src==192.168.32.132

    ip.addr==192.168.32.132

    總結

    以上是生活随笔為你收集整理的应急响应(日志/流量)的全部內容,希望文章能夠幫你解決所遇到的問題。

    如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。