川川 - 2010-4-2 11:51:00
鼎鼎大名的安全分析专家Anton Chuvakin和Lenny Zeltser博士为大家提供了这份宝贵的清单,当信息安全事故发生时,按清单的指引对设备的日志进行审核,可以迅速锁定问题点。一、处理步骤
l
服务器和工作站的操作系统日志
l
应用系统的日志 ( 如 web 服务器、数据库服务器等)
l
安全管理工具的日志( 如 防病毒、防火墙、入侵检测和防御等)
l
向外访问的 proxy 日志以及应用程序日志
l
其它运行记录和审计日志等
三、典型系统的日志位置
l
Linux 操作系统及其组件: /var/logs
l
Windows 操作系统及其组件: Windows 事件查看器 (安全类、系统类和应用类)
l
网络设备: 通常采用Syslog记录日志,有些设备采用自定义的格式和位置。
四、Linux系统中查看的内容
五、在Windows系统中查看的内容
六、网络设备中查看的内容
七、Web 服务器要查看的内容
要在短时间内快速完成这些工作,需要使用赛诺朗基全局事件管理系统,不仅可以实现审核的自动化,快速锁定问题点,更可实时监控,在事故发生前识别隐患,防止事故的发生
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0)
- 确定可以用哪些日志数据及自动分析工具
- 把所有日志记录集中到一个方便分析的地方
- 去除哪些明显是正常、每日例行或重复的日志数据
- 确认日志记录的时间戳是否可靠,注意不同运营地点的时差
- 关注那些最近发生的变更、故障、错误、状态变化、接入以及管理事件,以及其它在工作环境中不常见的事件。
- 从现在时刻开始,按时间倒序重现事故发生前后的系统运行状况。
- 对来自不同日志的事件进行关联分析,获得一个综合的系统分析图。
- 找出发生事故的原理,用日志数据进行验证
l
服务器和工作站的操作系统日志
l
应用系统的日志 ( 如 web 服务器、数据库服务器等)
l
安全管理工具的日志( 如 防病毒、防火墙、入侵检测和防御等)
l
向外访问的 proxy 日志以及应用程序日志
l
其它运行记录和审计日志等
三、典型系统的日志位置
l
Linux 操作系统及其组件: /var/logs
l
Windows 操作系统及其组件: Windows 事件查看器 (安全类、系统类和应用类)
l
网络设备: 通常采用Syslog记录日志,有些设备采用自定义的格式和位置。
四、Linux系统中查看的内容
| 用户登录成功Successful user login | “Accepted password”, “Accepted publickey”, "session opened” |
| 用户登录失败Failed user login | “authentication failure”, “failed password” |
| 用户注销User log-off | “session closed” |
| 用户账号变更或删除User account change or deletion | “password changed”, “new user”, “delete user” |
| Sudo授权 Sudo actions | “sudo: … COMMAND=…” “FAILED su” |
| 服务失败Service failure | “failed” or “failure” |
五、在Windows系统中查看的内容
| 下面的事件ID适用于 Windows 2000/XP,对于 Vista/Windows 7的事件ID,需要加上4096. | |
| 下面的事件绝大多数出现在安全类日志中,很多事件只会出现在域控xxx务器上。 | |
| 用户登录和注销User logon/logoff events | 登录成功:528, 540; 登录失败:529-537, 539; 注销:538, 551 |
| 账户变更User account changes | 创建:624; 激活:626; 变更:642; 失效:629; 删除: 630 |
| 密码变更Password changes | 自己修改:628; 修改他人:627 |
| 服务启动或终止Service started or stopped | 7035, 7036, 等 |
| 目标访问被拒绝Object access denied (需启动系统审计) | 560, 567 等 |
六、网络设备中查看的内容
| 需同时查看链入和链出活动 | |
| 下面示例的日志摘要采用Cisco ASA 日志,其它设备有类似的功能。 | |
| 防火墙放行的链接Traffic allowed on firewall | “Built … connection”, “access-list … permitted” |
| 防火墙阻止的链接Traffic blocked on firewall | “access-list … denied”, “deny inbound”, “Deny … by” |
| 传输的字节数Bytes transferred (可能是大容量文件) | “Teardown TCP connection … duration … bytes …” |
| 带宽和协议使用情况Bandwidth and protocol usage | “limit … exceeded”, “CPU utilization” |
| 检测到攻击Detected attack activity | “attack from” |
| 用户账户变更User account changes | “user added”, “user deleted”, “User priv level changed” |
| 管理操作Administrator access | “AAA user …”, “User … locked out”, “login failed” |
| 对不存在的文件访问申请超过多少次 | |
| URL中出现代码(SQL,HTML等) | |
| 访问未安装的服务 | |
| Web服务启动/停止/失败等信息 | |
| 对高危页面的访问,如接收用户输入的页面 | |
| 查看负载均衡池中所有服务器的日志 | |
| 不属于你的文件产生了错误代码 200 | |
| 用户认证失败Failed user authentication | 错误代码 401, 403 |
| 无效请求Invalid request | 错误代码 400 |
| 内部服务器错误Internal server error | 错误代码 500 |
要在短时间内快速完成这些工作,需要使用赛诺朗基全局事件管理系统,不仅可以实现审核的自动化,快速锁定问题点,更可实时监控,在事故发生前识别隐患,防止事故的发生
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0)