安全日志分析.pptxVIP

  1. 1、本文档共112页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
安全事件的日志分析 目录CONTENTS01、日志分析介绍02、Windows日志分析 03、Linux日志分析04、Web访问日志分析05、日志分析案例杭州安恒信息技术股份有限公司 Part01杭州安恒信息技术股份有限公司日志分析介绍 1.1 日志分析简介杭州安恒信息技术股份有限公司日志:日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息,这对系统监控、查询、 报表和安全审计是十分重要的。日志文件中的记录可提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警; 确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。日志分析的目的:在安全事件的应急处置中,日志分析的目的很明确,就是要对攻击行为进行溯源。攻击者IP攻击范围、攻击流程利用的脆弱点 1.2 常见日志类型Windows日志:日志文件是Windows系统中一个比较 特殊的文件,它记录着Windows系统中所 发生的一切,如各种系统服务的启动、运 行、关闭等信息。 Windows日志包括应用 程序、安全、系统等几个部分。杭州安恒信息技术股份有限公司 1.2 常见日志类型Linux日志:Linux日志记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、 各种服务相关信息等。杭州安恒信息技术股份有限公司 1.2 常见日志类型Web访问日志:正规部署的Web应用,都会使用类似Nginx, Apache这样的Web服务器来做反向代理以及负载均衡。这样一来,就 由这一层服务来搜集HTTP日志。HTTP日志记录了应用访问的请求。杭州安恒信息技术股份有限公司 1.2 常见日志类型其他日志:MySQL日志MSSQL日志向日葵远控日志TeamViewer远控日志杭州安恒信息技术股份有限公司 1.3 日志分析常用工具文本分析:类似HTTP日志、Linux日志等文本形式的日志,可以使用编辑器进行日志的查看和分析。杭州安恒信息技术股份有限公司 1.3 日志分析常用工具Windows日志分析工具:事件查看器Event log ExplorerLogParserLogonTracer杭州安恒信息技术股份有限公司 1.3 日志分析常用工具HTTP日志分析工具:360星图LogstalgiaGoAccess杭州安恒信息技术股份有限公司 1.4 日志分析常见流程杭州安恒信息技术股份有限公司1、信息收集:为什么要做信息收集事件造成的影响事件发生的时间主机情况(网络拓扑、承载信息系统、账号信息等)日志收集2、日志分析:操作系统日志分析Web访问日志分析其他组件日志分析3、日志分析整理:攻击路径受影响主机/系统攻击者信息 1.4 日志分析常见流程杭州安恒信息技术股份有限公司1、信息收集:为什么要做信息收集事件造成的影响:确定影响面事件发生的时间主机情况(网络拓扑、承载信息系统、账号信息等)日志收集2、日志分析:操作系统日志分析Web访问日志分析其他组件日志分析3、日志分析整理:攻击路径受影响主机/系统攻击者信息 1.4 日志分析常见流程杭州安恒信息技术股份有限公司1、信息收集:为什么要做信息收集事件造成的影响:确定影响面事件发生的时间:锁定时间节点利于溯源分析主机情况(网络拓扑、承载信息系统、账号信息等)日志收集2、日志分析:操作系统日志分析Web访问日志分析其他组件日志分析3、日志分析整理:攻击路径受影响主机/系统攻击者信息 1.4 日志分析常见流程杭州安恒信息技术股份有限公司1、信息收集:为什么要做信息收集事件造成的影响:确定影响面事件发生的时间:锁定时间节点利于溯源分析主机情况(网络拓扑、承载信息系统、账号信息等):猜测攻击者攻击行为,确认需要分析的日志范围日志收集2、日志分析:操作系统日志分析Web访问日志分析其他组件日志分析3、日志分析整理:攻击路径受影响主机/系统攻击者信息 1.4 日志分析常见流程杭州安恒信息技术股份有限公司1、信息收集:为什么要做信息收集事件造成的影响:确定影响面事件发生的时间:锁定时间节点利于溯源分析主机情况(网络拓扑、承载信息系统、账号信息等):猜测攻击者攻击行为,确认需要分析的日志范围日志收集2、日志分析:操作系统日志分析Web访问日志分析其他组件日志分析3、日志分析整理:攻击路径受影响主机/系统攻击者信息日志分析的目的:在安全事件的应急处置中,日志分析的目的很明确,就是要对攻击行为进行溯源。 三要素:攻击者IP:定位攻击者,用于抓捕或者进一步溯源攻击范围、攻击流程:摸清攻击行为,寻找过程中的安全薄弱点,进行加固防范利用的脆弱点:针对性的进行漏洞加固 Part02杭州安恒信息技术股份有限公司Windows日志分析 2.1 Windows日志介绍日志路径:日志路

文档评论(0)

jsqfzhl + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档