04构建安全监控平台.pdf

构建安全监控平台 关于我: lion_00 CCIE 2011年11月 CISSP 2013年4月 安全爱好者 安全监控应该怎么做 开源/商业 大量的告警有人看吗 怎么才可以让告警准确一些 监控的范围以及层次 以核心资源为中心进行保护 尽量将所有边界囊括其中 一网络层 数据源:出口流量镜像 IDS:suricata 简单展示界面:BASE 报表展示：SNORBY 网络IDS 起到了眼睛的作用，绝大多数攻击 可以通过编辑网络IDS的规则便可以发现，比如SQLMAP， AWVS等等。 二 日志的存储与展示 数据源:出口流量镜像 将外部访问的HTTP/HTTPS数据从网络流量中提取出来，以便后续使用 三访问日志(HTTP/HTTPS)WEB 服务器日志 数据源:出口流量镜像 工具:E.L.K 四主机层 数据源:主机IDS-OSSEC 展示界面 文件变更 端口变化 SYSLOG告警 五网络边界 NMAP / 域名变更通知 对外端口开放情况 对外域名开放情况 六审计设备 数据库审计 BASH 审计 。。。 有了以上这些，是否就已经足够了？ 工具开发 策略优化 告警调整 性能调整 工具开发 策略优化 了解常见的黑客软件的签名 了解安全工具的相关特性 SURICATA 日志分析 变更报告 堡垒机日 关联分析 志。。。。 ossec 扫描报告 告警调整 核心思想: 站在黑客的角度思考，设计 建立规则分析引擎，对事件进行关联分析 提高告警的准确度 交叉关联:事件与目标漏洞直接的关联 逻辑关联:事件之间的关联 例如:SURICATA 产生了发现菜刀的告警，同时OSSEC 产生文件变更告警 3次SSH 登录失败，与30次SSH 登录失败 SURICATA 发现SQL告警，同时日志分析处发现CODE 为200 检测内容： 检测恶意行为： • IP访问频率 • 扫描/爬虫 • URL访问频率 • 暴力登录 • 平行权限 关于E.L.K SURICATA WEB 日志 OSSEC 关联分析 告警 事件概率 离线分析 告警 SURICATA WEB 日志