最新消息:XAMPP默认安装之后是很不安全的,我们只需要点击左方菜单的 "安全"选项,按照向导操作即可完成安全设置。

Day 15 機器幫你管日誌: SIEM 安全資訊事件管理系統 (1)

XAMPP下载 admin 504浏览 0评论

前兩篇提到log Analysis 日誌分析,所謂工欲善其事,必先利其器,想從日誌中挖出有用、有價值的資料,沒有ㄧ個好工具很難進行,以之前分享的《網管人》雜誌文章為例,雖然用script 將伺服器日誌集中在一個地方,避免日誌流失或佔據該伺服器空間,達到稽核要求,但是用Windows Event Viewer ㄧ個個開啟檔案十分耗時,而且當查詢的時間點不明確,很難橫跨時間ㄧ次查詢。(例如查詢「ㄧ個月內所有登入失敗的記錄」。)

另外,不同網路設備的日誌格式不同,Windows Event Viewer就沒辦法開啟Linux系統的日誌,而且當系統開始記錄稽核日誌Audit Log,每天產生的日誌十分驚人(還只是單一伺服器而已),所以一般至少要運用Log Management日誌管理工具來分析日誌,很多開源、免費的工具例如Graylog, Loggly等等都十分好用,但如果要深入進行資安分析,往往需要ㄧ套功能完善的Security Information and Event Management (SIEM) ,安全資訊事件管理系統。

SIEM的功能和一般日誌管理工具類似,都會將來自不同伺服器和設備的日誌和事件紀錄集中在一個地方 (通常是Log server伺服器本身硬碟或特定的儲存池Storage pool),避免日誌和紀錄隨著機器故障遺失,符合稽核要求,可以進行關鍵字或日期查詢,所以也有人直接用日誌管理工具來進行分析,成為資安分析師之前我就是被主管指派,學習用一套Log Management日誌管理工具來分析各種日誌,但是幾個月過去後總覺得工具有一些不足的地方,直到我們選購、轉換到一套正式的SIEM平台。SIEM本身有獨特的功能性,除了強化資安分析,大部分的SIEM皆有以下功能:

  1. 彙整、解讀多項系統設備日誌

無論是從網路設備的syslog 、Windows 伺服器日誌、Linux Log、 IDS/IPS 、防火牆Firewall、router/switch log 等等,甚至Netflow等等flow data,只要產品支持,SIEM都能讀取、分類索引、正規化 (normalize) 並即時查詢,無須登入不同產品的管理平台閱讀個別日誌,所有資訊都在你面前的SIEM儀表板,方便查詢、分析與鑑識。

例如收到SIEM的電子郵件警訊回報,一台電腦上發現惡意程式,這是來自端點防毒軟體日誌有紀錄電腦IP,接著我們可以憑該電腦的IP查詢Firewall,、UTM、IPS/IDS,、Proxy Server、flow data等等所有的log查閱「所有符合該IP的紀錄」來找出該電腦的瀏覽紀錄,比對DNS log找出URL,再用URL查詢「所有曾經造訪該URL的電腦IP」,看是否有其他台電腦造訪、下載惡意程式,再繼續根據找到的電腦IP搜尋「所有來自該電腦IP的紀錄」,研究是否電腦有受到感染?是否有異常行為?而這反覆比對、查詢、擴大搜尋範圍、縮小搜查內容的過程中,皆在同一個SIEM平台執行。

  1. 資料圖形化

將日誌紀錄轉化為圖形在儀表板上呈現,方便建立規則比對,做出趨勢分析,圖形化介面可以偵測「短時間內產生大量日誌」這樣的異常行為,或針對「過去7天最多登入失敗的帳號」深入調查。同時SIEM有內建各式報表,可以定期產生法規遵循相關報表,或分析類報表方便進行分析。主管最喜歡看著儀表版問「今天怎麼樣啊?」不然就是對著報表點頭(偶爾會搖頭),畢竟圖形化後的資料較為淺顯易懂,能快速掌握重點。

转载请注明:XAMPP中文组官网 » Day 15 機器幫你管日誌: SIEM 安全資訊事件管理系統 (1)

您必须 登录 才能发表评论!