鼎鼎大名的安全分析专家Anton Chuvakin和Lenny Zeltser博士为大家提供了这份宝贵的清单,当信息安全事故发生时,按清单的指引对设备的日志进行审核,可以迅速锁定问题点。一、处理步骤
- 确定可以用哪些日志数据及自动分析工具
- 把所有日志记录集中到一个方便分析的地方
- 去除哪些明显是正常、每日例行或重复的日志数据
- 确认日志记录的时间戳是否可靠,注意不同运营地点的时差
- 关注那些最近发生的变更、故障、错误、状态变化、接入以及管理事件,以及其它在工作环境中不常见的事件。
- 从现在时刻开始,按时间倒序重现事故发生前后的系统运行状况。
- 对来自不同日志的事件进行关联分析,获得一个综合的系统分析图。
- 找出发生事故的原理,用日志数据进行验证
二、可用的日志来源
l
服务器和工作站的操作系统日志
l
应用系统的日志 ( 如 web 服务器、数据库服务器等)
l
安全管理工具的日志( 如 防病毒、防火墙、入侵检测和防御等)
l
向外访问的 proxy 日志以及应用程序日志
l
其它运行记录和审计日志等
三、典型系统的日志位置
l
Linux 操作系统及其组件: /var/logs
l
Windows 操作系统及其组件: Windows 事件查看器 (安全类、系统类和应用类)
l
网络设备: 通常采用Syslog记录日志,有些设备采用自定义的格式和位置。
四、Linux系统中查看的内容
用户登录成功Successful user login
| “Accepted password”,
“Accepted publickey”,
"session opened”
| 用户登录失败Failed user login
| “authentication failure”,
“failed password”
| 用户注销User log-off
| “session closed”
| 用户账号变更或删除User account change or deletion
| “password changed”,
“new user”,
“delete user”
| Sudo授权 Sudo actions
| “sudo: … COMMAND=…”
“FAILED su”
| 服务失败Service failure
| “failed” or “failure”
|
五、在Windows系统中查看的内容
下面的事件ID适用于 Windows 2000/XP,对于 Vista/Windows 7的事件ID,需要加上4096.
| 下面的事件绝大多数出现在安全类日志中,很多事件只会出现在域控制服务器上。
| 用户登录和注销User logon/logoff events
| 登录成功:528, 540; 登录失败:529-537, 539; 注销:538, 551
| 账户变更User account changes
| 创建:624; 激活:626; 变更:642; 失效:629; 删除: 630
| 密码变更Password changes
| 自己修改:628; 修改他人:627
| 服务启动或终止Service started or stopped
| 7035, 7036, 等
| 目标访问被拒绝Object access denied (需启动系统审计)
| 560, 567 等
|
六、网络设备中查看的内容
需同时查看链入和链出活动
| 下面示例的日志摘要采用Cisco ASA 日志,其它设备有类似的功能。
| 防火墙放行的链接Traffic allowed on firewall
| “Built … connection”,
“access-list … permitted”
| 防火墙阻止的链接Traffic blocked on firewall
| “access-list … denied”,
“deny inbound”,
“Deny … by”
| 传输的字节数Bytes transferred (可能是大容量文件)
| “Teardown TCP connection … duration … bytes …”
| 带宽和协议使用情况Bandwidth and protocol usage
| “limit … exceeded”,
“CPU utilization”
| 检测到攻击Detected attack activity
| “attack from”
| 用户账户变更User account changes
| “user added”,
“user deleted”,
“User priv level changed”
| 管理操作Administrator access
| “AAA user …”,
“User … locked out”,
“login failed”
| 七、Web 服务器要查看的内容
对不存在的文件访问申请超过多少次
| URL中出现代码(SQL,HTML等)
| 访问未安装的服务
| Web服务启动/停止/失败等信息
| 对高危页面的访问,如接收用户输入的页面
| 查看负载均衡池中所有服务器的日志
| 不属于你的文件产生了错误代码 200
| 用户认证失败Failed user authentication
| 错误代码 401, 403
| 无效请求Invalid request
| 错误代码 400
| 内部服务器错误Internal server error
| 错误代码 500
|
要在短时间内快速完成这些工作,需要使用赛诺朗基全局事件管理系统,不仅可以实现审核的自动化,快速锁定问题点,更可实时监控,在事故发生前识别隐患,防止事故的发生 |