安全日志分析.pptxVIP

安全事件的日志分析 目录CONTENTS01、日志分析介绍02、Windows日志分析 03、Linux日志分析04、Web访问日志分析05、日志分析案例杭州安恒信息技术股份有限公司 Part01杭州安恒信息技术股份有限公司日志分析介绍 1.1 日志分析简介杭州安恒信息技术股份有限公司日志：日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息，这对系统监控、查询、 报表和安全审计是十分重要的。日志文件中的记录可提供以下用途：监控系统资源；审计用户行为；对可疑行为进行告警； 确定入侵行为的范围；为恢复系统提供帮助；生成调查报告；为打击计算机犯罪提供证据来源。日志分析的目的：在安全事件的应急处置中，日志分析的目的很明确，就是要对攻击行为进行溯源。攻击者IP攻击范围、攻击流程利用的脆弱点 1.2 常见日志类型Windows日志：日志文件是Windows系统中一个比较 特殊的文件，它记录着Windows系统中所 发生的一切，如各种系统服务的启动、运 行、关闭等信息。 Windows日志包括应用 程序、安全、系统等几个部分。杭州安恒信息技术股份有限公司 1.2 常见日志类型Linux日志：Linux日志记录了许多重要的系统事件，包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、 各种服务相关信息等。杭州安恒信息技术股份有限公司 1.2 常见日志类型Web访问日志：正规部署的Web应用，都会使用类似Nginx, Apache这样的Web服务器来做反向代理以及负载均衡。这样一来，就 由这一层服务来搜集HTTP日志。HTTP日志记录了应用访问的请求。杭州安恒信息技术股份有限公司 1.2 常见日志类型其他日志：MySQL日志MSSQL日志向日葵远控日志TeamViewer远控日志杭州安恒信息技术股份有限公司 1.3 日志分析常用工具文本分析：类似HTTP日志、Linux日志等文本形式的日志，可以使用编辑器进行日志的查看和分析。杭州安恒信息技术股份有限公司 1.3 日志分析常用工具Windows日志分析工具：事件查看器Event log ExplorerLogParserLogonTracer杭州安恒信息技术股份有限公司 1.3 日志分析常用工具HTTP日志分析工具：360星图LogstalgiaGoAccess杭州安恒信息技术股份有限公司 1.4 日志分析常见流程杭州安恒信息技术股份有限公司1、信息收集：为什么要做信息收集事件造成的影响事件发生的时间主机情况（网络拓扑、承载信息系统、账号信息等）日志收集2、日志分析：操作系统日志分析Web访问日志分析其他组件日志分析3、日志分析整理：攻击路径受影响主机/系统攻击者信息 1.4 日志分析常见流程杭州安恒信息技术股份有限公司1、信息收集：为什么要做信息收集事件造成的影响：确定影响面事件发生的时间主机情况（网络拓扑、承载信息系统、账号信息等）日志收集2、日志分析：操作系统日志分析Web访问日志分析其他组件日志分析3、日志分析整理：攻击路径受影响主机/系统攻击者信息 1.4 日志分析常见流程杭州安恒信息技术股份有限公司1、信息收集：为什么要做信息收集事件造成的影响：确定影响面事件发生的时间：锁定时间节点利于溯源分析主机情况（网络拓扑、承载信息系统、账号信息等）日志收集2、日志分析：操作系统日志分析Web访问日志分析其他组件日志分析3、日志分析整理：攻击路径受影响主机/系统攻击者信息 1.4 日志分析常见流程杭州安恒信息技术股份有限公司1、信息收集：为什么要做信息收集事件造成的影响：确定影响面事件发生的时间：锁定时间节点利于溯源分析主机情况（网络拓扑、承载信息系统、账号信息等）：猜测攻击者攻击行为，确认需要分析的日志范围日志收集2、日志分析：操作系统日志分析Web访问日志分析其他组件日志分析3、日志分析整理：攻击路径受影响主机/系统攻击者信息 1.4 日志分析常见流程杭州安恒信息技术股份有限公司1、信息收集：为什么要做信息收集事件造成的影响：确定影响面事件发生的时间：锁定时间节点利于溯源分析主机情况（网络拓扑、承载信息系统、账号信息等）：猜测攻击者攻击行为，确认需要分析的日志范围日志收集2、日志分析：操作系统日志分析Web访问日志分析其他组件日志分析3、日志分析整理：攻击路径受影响主机/系统攻击者信息日志分析的目的：在安全事件的应急处置中，日志分析的目的很明确，就是要对攻击行为进行溯源。 三要素：攻击者IP：定位攻击者，用于抓捕或者进一步溯源攻击范围、攻击流程：摸清攻击行为，寻找过程中的安全薄弱点，进行加固防范利用的脆弱点：针对性的进行漏洞加固 Part02杭州安恒信息技术股份有限公司Windows日志分析 2.1 Windows日志介绍日志路径：日志路