seci-log 1.02 发布,日志分析软件增加了多种告警

发布时间:2020-08-02 07:38:34 作者:zhulinu
来源:网络 阅读:658

我们在日志分析软件七种告警(非上班时间访问,非上班地点访问,密码猜测,账号猜测,账号猜测成功、敏感文件操作告警和高危命令操作)的基础上有增加了主机扫描,端口扫描,非法外联告警的内容。

主机扫描

主机扫描是指在一台机器上对内网或者外网一个网段进行扫描,目的是要发现网络中存活的主机,为下一步的操作打下基础。这条告警和下面的端口扫描和非法外联都属于网络层面的告警,前提也是需要配置日志策略。在linux系统中大部分都内置了iptabe防火墙,可以利用iptable防火墙的日志功能进行采集日志,然后进行分析这些告警。下面介绍一下日志配置:

1、在linux下执行一下命令,可以是iptables的日志从syslog发送:

iptables-AOUTPUT-ptcp-jLOG--log-prefix"seci-iptables"--log-level4

iptables-AOUTPUT-pudp-jLOG--log-prefix"seci-iptables"--log-level4

2、配置syslog发送策略:

kern.warning@IP地址

需要注意的是*.info;mail.none;authpriv.none;cron.none;kern.none中要加上kern.none,不然就会重复发送,当然可以不要第一条,直接在info中发送也是可以的。

3、从起syslog服务:

servicersyslogrestart

4、安装nmap,下面以centos为例:

yuminstallnmap

经过以上配置就可以配置好防护墙日志发送策略。

验证过程,首先要进行配置,合法端口。详见下图:

seci-log 1.02 发布,日志分析软件增加了多种告警

执行nmap命令:nmap-sP192.168.21.1-20,扫描20台主机。

查看告警:

seci-log 1.02 发布,日志分析软件增加了多种告警

然后查看告警详情:

seci-log 1.02 发布,日志分析软件增加了多种告警

seci-log 1.02 发布,日志分析软件增加了多种告警

可以发现,nmap在主机发现的扫描中,主要探测了443和80端口,这个时候告警会产生两条主机扫描的告警。

端口扫描

端口扫描是指在一台机器上对内网或者外网的另一台机器进行端口扫描,目的是要发现网络中主机开放的端口信息,为下一步的操作打下基础。这条告警也属于网络层面的告警,前提也是需要配置日志策略。详细的配置信息详见主机扫描。

验证过程:执行nmap命令:nmap-p20-80192.168.21.1地址,扫描61个端口。

查看告警:

seci-log 1.02 发布,日志分析软件增加了多种告警

查看详情:

seci-log 1.02 发布,日志分析软件增加了多种告警

   可以看出扫描了此机器的端口多个不同端口的信息。

非法外联

非法外联是指在一台机器上不该有的其他连接信息,比如服务器,正常情况下可能只开放了80,22端口,而且一般服务器是被动接收的日志,当发现日志中有主动发起的连接而且不是规定的端口,很有可能是中了***,这个时候要特别关注。这条告警也属于网络层面的告警,前提也是需要配置日志策略。详细的配置信息详见主机扫描。

验证过程,首先要进行配置,合法端口。详见下图:

seci-log 1.02 发布,日志分析软件增加了多种告警

表示本机22和514端口是合法的端口其他端口都是非法端口,执行上面主机扫描或者端口扫描的nmap命令,即可产生非法外联告警。

seci-log 1.02 发布,日志分析软件增加了多种告警

查看详情:

seci-log 1.02 发布,日志分析软件增加了多种告警

从中可以看出有非法外联行为,里面的日志有的是和主机扫描或者端口扫描重复。



推荐阅读:
  1. Mysq中l建立测试父表、子表及测试用例的示例
  2. python如何实现加密

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

日志分析 安全 secisland se 分析软件 og

上一篇:mybatis配置文件resultType和resultMap的区别以及mybatis自带的别名

下一篇:nagios 监控 网卡流量 脚本

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》