目录
1. 概述 2
1.1. 目的 2
1.2. 定义和缩写 2
2. 应急响应日志审计流程 2
3. 异常信息收集 3
4. WEB日志审计 4
4.1. WEB日志路径 4
4.1.1.Apache服务器 4
4.1.2.Tomcat服务器 5
4.1.3.IIS服务器 5
4.1.4.Nginx服务器 6
4.2. Webshell访问记录查找 6
4.3. 访问数据统计 7
4.4. 攻击特征匹配 8
5. 登录日志审计 9
5.1. RDP登录分析 9
5.2. Windows共享目录登录分析 12
5.3. SSH登录分析 13
5.4. FTP登录分析 15
5.4.1.Windows IIS服务器 16
5.4.2.Linux Vsftp服务器 17
5.5. 其他系统登录日志 17
6. 帐户管理日志 17
6.1. Windows帐户管理日志 18
6.2. Linux帐户管理日志 20
7. 恶意行为跟踪 21
7.1. 防火墙日志 21
7.2. 进程跟踪 23
7.3. 对象访问 23
8. 审计文档整理 25
9. 常用工具 25
9.1. Web日志分析工具 25
9.1.1.Web日志安全分析工具 v2.0 25
9.1.2.360星图 26
9.1.3.日志宝 27
9.1.4.Notepad++ 27
9.2. Windows日志分析工具 27
9.2.1.Log Parser 27
9.3. Linux日志分析工具 28
1.概述
1.1. 目的
本文描述了应急响应过程中日志收集与审计的流程和方法,定义日志收集和审计的整体流程以及分析方法,后续将根据实际案例对本流程进行完善。
1.2. 定义和缩写
无。
2.应急响应日志审计流程
应急响应日志审计主要分成三个阶段:
第一个阶段:异常信息收集阶段
第二个阶段:日志审计阶段
第三个阶段:审计文档整理阶段
信息收集阶段主要是收集系统异常的具体原因、现象、主机网络拓扑情况等;通过该阶段,可以对问题、受害范围有一定的了解,为后面日志分析做好准备。
日志分析阶段主要是根据主机的异常现象对相关日志进行分析,找出问题原因或攻击源,主要从4个方面进行分析:WEB日志分析、帐号登录日志分析、帐户管理日志分析、恶意行为跟踪。图2-1是应急响应中日志审计的整体流程图。
审计文档整理阶段主要是对异常现象的分析结果进行统一整理,包括:事件起因或漏洞利用点、攻击流程、受影响主机、受影响业务范围等信息。
图2-1 日志审计流程图
3.异常信息收集
日志审计的第一个阶段是收集尽可能多的关于问题主机与网络的相关信息。这样可以快速找到切入点,有针对性的选择日志进行分析,有利于提高日志审计的效率,这个阶段需要了解以下信息:
- 主机或网络出现异常的时间
知道异常行为开始的时间可以缩小日志分析的范围。
- 主机或网络的异常现象特征
根据异常现象对问题产生的原因作出初步判断,明确日志分析的切入点。
- 受影响的主机范围
知道受影响主机的访问同样可以缩小日志分析的范围。
- 主机与业务信息
- 网络拓扑信息
- 用户工作时间或帐户情况
- 安全设备策略配置情况
根据安全策略的配置情况,可提前排除某些安全问题,缩小排查范围。
全文下载地址:https://t.zsxq.com/mm2JiaM