上一篇提到除了稽核之外,日誌分析Log Analysis還有很多用途,今天繼續介紹:
3.效能監控 Performance Monitoring
透過比對過去的 Web traffic log, 可以掌握網頁訪客的部分資料,例如Origin IP 起源IP,當大部份訪客來自於某個國家地區時,可以用CDN提升網站效能。
另一個常見的做法是在虛擬環境中佈屬專門工具來蒐集分析日誌,監控整個虛擬環境的效能,預測是否需要調整resource pool資源池,VMware 環境下有VMware vRealize Log Insight,Microsoft 下有Operations Management Suite (OMS) ,這兩個工具在某些license或情況下是免費的,也可以將log送到自己平時用的log management tool,建立專屬的儀表版監控。
4.資安分析Security Analysis
日誌在資安分析上的運用更是重要。這次鐵人賽有Penetration Test 滲透測試的介紹,理解ㄧ般攻擊的手法和過程後,不妨深入思考:這個步奏會在那裡留下記錄?監測特定日誌log可以提早發出警訊,警告我們正有人攻擊或對系統進行情報蒐集;當資安事件發生後,我們也必須依靠日誌,重建攻擊入侵的軌跡,針對弱點強化以防止再次被入侵。ㄧ些通常會監測的日誌log情況如下:
Windows Event Log 應該是使用Microsoft主機系統最常監控的日誌,帳號異常登入的行為通常是被入侵的警訊,例如某個帳號短時間內登入多台主機,可能是lateral movement;短時間內多次登入失敗,可能是Brute Force手法想破解密碼;當日誌出現創建帳號(Event ID 4720),伴隨著帳號權限提升的記錄,很可能是入侵者創建一組屬於自己使用的管理員帳號,必須確認是ㄧ般MIS 正常運作還是異常行為。這些屬於audit log稽核日誌多半需要另行調整設定,系統才會開始記錄,可以參閱Microsoft 相關文件(連結在文末)。
當ㄧ般員工使用電腦時,萬一(不小心)點擊連結、造訪惡意網站、甚至下載可疑檔案,這些行為都會在不同系統留下相對應記錄,例如DNS Log 會提供那台電腦查詢網站的記錄,Proxy Log或Firewall Log 乃至Switch/Router Flow Data會提供瀏覽、下載行為記錄, IPS/IDS Log會提出可疑惡意情況偵測,防毒軟體antivirus log 會記錄阻擋惡意程式運作,假使IPS/IDS和防毒軟體僅僅判定檔案為「可疑」,亦可以憑現有日誌資料比對網上資安情資平台,例如VirusTotal或Cisco Talos,判定檔案或連結是否為惡意,甚至憑日誌照著員工瀏覽記錄,在安全的Sandbox沙盒環境檢驗檔案和連結。
雖然之前決定維持vendor neutral,盡量避免提具體產品的名字以免偏頗特定廠商,但我確實發現很多玩VMware好幾年經驗的同行不知道VMware vRealize Log Insight這個工具的存在,而且在某些licensing 情況下Log Insight 是免費的,例如某些VMware vSphere license方案下已包含Log Insight, 或是允許在有限額度內免費使用,所以我還是提供一下資訊,畢竟大家聽到分享的工具才能去測試,好不好用、適不適用看個人,也許覺得免費額度很足夠,或者喜歡產品可以進ㄧ步向廠商了解,或是自己有合用的方案,也歡迎留言分享。
转载请注明:XAMPP中文组官网 » Day 14 傾聽日誌的聲音 : Log Analysis & Monitor日誌分析與監控 (2)