信息安全事故处理急救箱

鼎鼎大名的安全分析专家Anton ChuvakinLenny Zeltser博士为大家提供了这份宝贵的清单,当信息安全事故发生时,按清单的指引对设备的日志进行审核,可以迅速锁定问题点。一、处理步骤
  • 确定可以用哪些日志数据及自动分析工具
  • 把所有日志记录集中到一个方便分析的地方
  • 去除哪些明显是正常、每日例行或重复的日志数据
  • 确认日志记录的时间戳是否可靠,注意不同运营地点的时差
  • 关注那些最近发生的变更、故障、错误、状态变化、接入以及管理事件,以及其它在工作环境中不常见的事件。
  • 从现在时刻开始,按时间倒序重现事故发生前后的系统运行状况。
  • 对来自不同日志的事件进行关联分析,获得一个综合的系统分析图。
  • 找出发生事故的原理,用日志数据进行验证
二、可用的日志来源
l
服务器和工作站的操作系统日志
l
应用系统的日志 ( web 服务器、数据库服务器等)
l
安全管理工具的日志( 防病毒、防火墙、入侵检测和防御等)
l
向外访问的 proxy 日志以及应用程序日志
l
其它运行记录和审计日志等
三、典型系统的日志位置
l
Linux 操作系统及其组件: /var/logs
l
Windows 操作系统及其组件: Windows 事件查看器 (安全类、系统类和应用类)
l
网络设备: 通常采用Syslog记录日志,有些设备采用自定义的格式和位置。
四、Linux系统中查看的内容
用户登录成功Successful user login
“Accepted password”,
“Accepted publickey”,
"session opened”

用户登录失败Failed user login
“authentication failure”,
“failed password”

用户注销User log-off
“session closed”
用户账号变更或删除User account change or deletion
“password changed”,
“new user”,
“delete user”

Sudo授权 Sudo actions
“sudo: … COMMAND=…”
“FAILED su”

服务失败Service failure
“failed” or “failure”



五、在Windows系统中查看的内容
下面的事件ID适用于 Windows 2000/XP,对于 Vista/Windows 7的事件ID,需要加上4096.
下面的事件绝大多数出现在安全类日志中,很多事件只会出现在域控xxx务器上。
用户登录和注销User logon/logoff events
登录成功:528, 540; 登录失败:529-537, 539; 注销:538, 551
账户变更User account changes
创建:624; 激活:626; 变更:642; 失效:629; 删除: 630
密码变更Password changes
自己修改:628; 修改他人:627
服务启动或终止Service started or stopped
7035, 7036,
目标访问被拒绝Object access denied (需启动系统审计)
560, 567

六、网络设备中查看的内容
需同时查看链入和链出活动
下面示例的日志摘要采用Cisco ASA 日志,其它设备有类似的功能。
防火墙放行的链接Traffic allowed on firewall
“Built … connection”,
“access-list … permitted”

防火墙阻止的链接Traffic blocked on firewall
“access-list … denied”,
“deny inbound”,
“Deny … by”

传输的字节数Bytes transferred (可能是大容量文件)
“Teardown TCP connection … duration … bytes …”
带宽和协议使用情况Bandwidth and protocol usage
“limit … exceeded”,
“CPU utilization”

检测到攻击Detected attack activity
“attack from”
用户账户变更User account changes
“user added”,
“user deleted”,
“User priv level changed”

管理操作Administrator access
“AAA user …”,
“User … locked out”,
“login failed”

七、Web 服务器要查看的内容
对不存在的文件访问申请超过多少次
URL中出现代码(SQLHTML等)
访问未安装的服务
Web服务启动/停止/失败等信息
对高危页面的访问,如接收用户输入的页面
查看负载均衡池中所有服务器的日志
不属于你的文件产生了错误代码 200
用户认证失败Failed user authentication
错误代码 401, 403
无效请求Invalid request
错误代码 400
内部服务器错误Internal server error
错误代码 500

要在短时间内快速完成这些工作,需要使用赛诺朗基全局事件管理系统,不仅可以实现审核的自动化,快速锁定问题点,更可实时监控,在事故发生前识别隐患,防止事故的发生

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0)