SIEM 中不同类型日志监控及分析

news2024/12/26 22:45:03

安全信息和事件管理(SIEM)解决方案通过监控来自网络的不同类型的数据来确保组织网络的健康安全状况,日志数据记录设备上发生的每个活动以及整个网络中的应用程序,若要评估网络的安全状况,SIEM 解决方案必须收集和分析不同类型的日志数据。

什么是日志分析

日志分析是调查收集的日志以识别模式和异常行为、在从各种源收集的日志之间建立关系并在检测到威胁时生成警报的过程。可以使用不同的技术(包括日志关联、取证分析和威胁情报)执行日志分析,以识别恶意活动。它在深入了解网络活动方面也起着重要作用。

日志分析为什么重要

如果没有适当的分析技术,可能很难识别网络中的恶意活动。由于日志包含有关网络中发生的每个活动的信息,因此分析这些日志以:

  • 防止数据泄露。
  • 监控用户活动并检测异常用户行为。
  • 保护敏感数据免受攻击。
  • 尽早检测网络攻击并缓解它们。
  • 防止因泄露而导致数据丢失。
  • 遵守 IT 法规。

日志分析是如何进行的

  • 将聚合收集的日志。聚合是从不同系统收集所有不同日志的过程,并且文件被收集和存储在一个中心位置。
  • 日志被规范化并转换为可读的结构化格式。
  • 然后使用预定义的规则分析和关联规范化的日志数据,以确定从不同来源收集的日志之间的关系。生成与收集的日志的分析相对应的报告和交互式仪表板。相关性可以指示来自不同源的日志数据是否对应于一个事件。如果事件威胁到网络安全,则会发出警报。引发警报的条件是预定义的,也可以根据组织的需求进行自定义。
  • 还可以通过应用取证分析和威胁情报来加强分析。对日志数据执行取证分析有助于识别网络中的攻击点。它可以指定攻击是如何进行的,以及网络的哪个部分被破坏以获得进入;它还检查整个网络中的漏洞。

不同类型日志数据监控及分析

使用 SIEM 解决方案收集和分析的不同类型的日志数据,以确保网络安全。

  • 外围设备日志
  • Windows 事件日志
  • 端点日志
  • 应用程序日志
  • 代理日志
  • 物联网日志

外围设备日志

外围设备监控和调节进出网络的流量。防火墙、虚拟专用网络 (VPN)、入侵检测系统 (IDS) 和入侵防御系统 (IPS) 是一些外围设备。这些设备生成包含大量数据的日志,外围设备日志对于了解网络中发生的安全事件至关重要。syslog 格式的日志数据可帮助 IT 管理员执行安全审核、解决操作问题,并更好地了解通过和传出公司网络的流量。

为什么需要监控外围设备的日志数据

  • 检测流向网络的恶意流量:这些日志包含有关传入流量、用户浏览的网站的 IP 地址以及失败的登录尝试的详细信息,可帮助管理员跟踪异常流量行为。
  • 检测安全配置错误:安全配置错误是防火墙违规的最重要原因,对防火墙配置进行一些更改可能会为恶意网络流量打开大门,监控防火墙日志有助于检测未经授权的安全配置更改。
  • 检测攻击:分析防火墙日志有助于检测网络活动中的模式。例如,当服务器在短时间内收到大量 SYN 数据包以将客户端连接到服务器时,这可能表示分布式拒绝服务 (DDoS) 攻击。

剖析典型的外围设备(防火墙)日志数据

2015-07-06 11:35:26 ALLOW TCP 10.40.4.182 10.40.1.11 63064 135 0 - 0 0 0 - - - SEND

上面的日志条目指定事件的时间戳,后跟操作。在这种情况下,它指示防火墙允许流量的日期和时间,它还包含有关所用协议的信息,以及源和目标的 IP 地址和端口号。从此类日志数据中,管理员可以检测到连接到不使用的端口的尝试,指示流量是恶意的。

Windows 事件日志

Windows 事件日志是 Windows 系统上发生的所有事情的记录。此日志数据进一步分为:

  • Windows 应用程序日志:这些是 Windows 操作系统中的应用程序记录的事件。例如,此应用程序日志中记录了强制应用程序关闭的错误。
  • 安全日志:这些是可能影响系统安全的任何事件,它包括失败的登录尝试和文件删除实例。
  • 系统日志:它包含操作系统记录的事件。日志指示进程和驱动程序是否已成功加载。
  • 目录服务日志:它包含活动目录(AD)服务记录的事件。它记录 AD 操作,例如身份验证和权限修改。这些日志仅适用于域控制器。
  • DNS 服务器日志:这些是来自域名系统 (DNS) 服务器的日志,其中包含客户端 IP 地址、查询的域和请求的记录等信息。它仅适用于 DNS 服务器。
  • 文件复制服务日志:它包含域控制器复制的事件。它仅适用于域控制器。

为什么需要监控 Windows 事件日志

  • 确保服务器安全:大多数关键服务器(如文件服务器和 AD 域控制器)都在 Windows 平台上运行,监控此日志数据以了解关键资源发生的情况至关重要。
  • Windows 工作站安全性:事件日志提供有关工作站功能的宝贵见解,通过监控从设备生成的 Windows 事件日志,可以监视用户活动的异常行为,这可以帮助检测攻击在早期阶段,在发生攻击时,日志可以帮助重建用户的活动以进行取证。
  • 监控硬件组件:对 Windows 事件日志的分析通过指示故障原因来帮助诊断工作站硬件组件出现故障的问题。

剖析典型的 Windows 事件日志

Warning 4/28/2020 12:32:47 PM WLAN-AutoConfig 4003 None

Windows 根据每个事件的严重性对每个事件进行分类,包括“警告”、“信息”、“严重”和“错误”。在这种情况下,安全级别为“警告”。上面的日志条目来自 WLAN 自动配置服务,该服务是一个连接管理实用程序,使用户能够动态连接到无线局域网 (WLAN)。下一段指示事件发生的日期和时间。日志指定 WLAN 自动配置检测到有限的网络连接,并且正在尝试自动恢复。使用此日志,SIEM 解决方案可以在此日志中引用的时间戳检查其他设备上的类似日志,以解决网络连接问题。

端点日志

终结点是通过网络连接并跨服务器与其他设备通信的设备。一些示例包括台式机、笔记本电脑、智能手机和打印机。随着组织越来越多地采用远程工作,端点创建了可能被恶意行为者利用的网络入口点。

为什么需要监控端点日志

  • 监视可移动磁盘驱动器上的活动:可移动磁盘驱动器通常容易受到恶意软件安装和数据泄露尝试的攻击。通过监视终结点日志,可以检测到这些尝试。
  • 监视用户活动:用户必须遵守其组织的内部和外部法规策略,这些策略与在其工作站上安装和使用软件有关。终结点日志可用于监视这些策略,并在发生违规时提供通知。

剖析典型的终结点设备日志

Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None

上面的日志指定终端服务轻松打印驱动程序发生错误。这由错误源和事件 ID (1111) 指示。如果用户在打印文件时遇到问题,可以检查日志以了解问题的确切原因并解决问题。

在这里插入图片描述

应用程序日志

企业在各种应用程序(如数据库、Web 服务器应用程序和其他内部应用程序)上运行以执行特定功能。这些应用程序通常对于业务的有效运作至关重要。所有这些应用程序都会生成日志数据,以提供有关应用程序中发生的情况的见解。

为什么需要监视应用程序日志

  • 排查问题:这些日志有助于识别和更正与应用程序的性能和安全性相关的问题。
  • 监视活动:从数据库生成的日志指示来自用户的请求和查询。这可用于检测未经授权的文件访问或用户的数据操作尝试。日志还有助于解决数据库中的问题。

剖析典型应用程序日志

02-AUG-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)
(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *
(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))
establish * dev12c * 0

上述日志条目来自 Oracle 数据库系统,该日志用于从主机进行连接尝试,日志引用数据库服务器收到请求的时间和日期,它还指示发出请求的用户和主机,以及其 IP 地址和端口号。

代理日志

代理服务器通过提供隐私、调节访问和节省带宽,在组织的网络中发挥着重要作用。由于所有 Web 请求和响应都通过代理服务器,因此代理日志可以揭示有关使用情况统计信息和终结点用户的浏览行为的宝贵信息。

为什么需要监视代理日志

  • 基线用户行为:从收集的代理日志中分析用户的浏览活动有助于形成其行为的基线。与基线的任何偏差都可能揭示数据泄露,并表明需要进一步检查。
  • 要监控数据包的长度:代理日志可以帮助监视通过代理服务器交换的数据包的长度。例如,用户在给定的时间间隔内重复发送或接收相同长度的数据包可能指示软件更新,或发现与控制服务器交换信号的恶意软件。

剖析典型的代理日志

4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://wikipedia.com/

上面的日志指定 User-001 在日志中指示的日期和时间从 Wikipedia.com 请求页面,分析日志中的请求、URL 和时间戳有助于检测模式,并有助于在发生事件时恢复证据。

物联网日志

物联网 (IoT) 是指与互联网上的其他设备交换数据的物理设备网络,这些设备嵌入了传感器、处理器和软件,以实现数据收集、处理和传输,与端点一样,构成 IoT 系统的设备也会生成日志。

来自 IoT 设备的日志数据可深入了解硬件组件(如微控制器)的功能、设备的固件更新要求以及进出设备的数据流。从物联网系统记录数据的一个关键部分是日志数据的存储位置。这些设备没有足够的内存来存储日志。因此,必须将日志转发到集中式日志管理解决方案,在该解决方案中可以长时间存储日志。然后,SIEM 解决方案分析日志以排查错误和检测安全威胁。

不同的日志格式

上述所有来源的日志通常会转发到集中式日志记录解决方案关联和分析数据,以提供网络的安全概述。日志以不同的格式存储和传输,例如 CSV、JSON、键值对和通用事件格式。

  • .CSV
  • JavaScript Object Notation(JSON)
  • 键-值对(key- value pair)
  • 通用事件格式

.CSV

CSV 是一种以逗号分隔格式存储值的文件格式。它是一种纯文本文件格式,无论使用何种软件,都可以轻松将CSV文件导入存储数据库。由于 CSV 文件不是分层的或面向对象的,因此它们也更容易转换为其他文件类型。

JSON(JavaScript Object Notation)

JavaScript Object Notation(JSON)是一种基于文本的数据存储格式。它是一种结构化格式,可以更轻松地分析存储的日志。还可以查询特定字段。这些附加功能使 JSON 成为非常可靠的日志管理格式。

键-值对(key- value pair)

键-值对由两个元素组成:键和映射到它的值。键是一个常量,该值在不同的条目中是可变的,格式设置涉及将相似的数据集分组到一个公共键下,通过运行特定键的查询,可以提取该键下的所有数据。

通用事件格式

通用事件格式(通常称为 CEF)是一种日志管理格式,它通过更轻松地收集和存储来自不同设备和应用程序的日志数据来促进互操作性。它使用系统日志消息格式。它是使用最广泛的日志记录格式,受到各种供应商和软件平台的支持,由 CEF 标头和包含键值对中的日志数据的 CEF 扩展组成。

SIEM 解决方案(Log360)分析从不同来源收集的日志,关联日志数据,并提供见解以帮助组织检测网络攻击并从中恢复。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/972652.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

海外企业邮箱注册指南

海外企业邮箱怎么注册?随着全球化进程的加速,海外企业间的沟通和合作也越来越频繁。在这种情况下,拥有一个海外企业邮箱就显得非常必要。本文将向大家介绍如何注册海外企业邮箱。 步骤一:选择邮箱服务提供商 要注册海外企业邮箱&a…

音频修复和增强工具 iZotope RX 10 for mac激活最新

iZotope RX 10是一款音频修复和增强软件,主要特点包括: 声音修复:iZotope RX 10可以去除不良噪音、杂音、吱吱声等,使音频变得更加清晰干净。音频增强:iZotope RX 10支持对音频进行音量调节、均衡器、压缩器、限制器等…

读SQL学习指南(第3版)笔记11_字符串函数和数值函数

1. 尽管SQL标准指定了部分函数,但数据库厂商并没有遵循这些函数规范 2. 字符串 2.1. char 2.1.1. 固定长度、不足部分用空格填充的字符串 2.1.2. MySQL允许的char类型的最大长度为255个字符 2.1.3. Oracle Database允许的最大长度为2,000个字符 2.1.4. SQL Se…

Day54|动态规划part15:392.判断子序列、115.不同的子序列

392.判断子序列 leetcode链接:力扣题目链接 视频链接:动态规划之子序列,为了编辑距离做铺垫 | LeetCode:115.不同的子序列 给定字符串 s 和 t ,判断 s 是否为 t 的子序列。字符串的一个子序列是原始字符串删除一些&…

【深度学习实验】数据可视化

目录 一、实验介绍 二、实验环境 三、实验内容 0. 导入库 1. 归一化处理 归一化 实验内容 2. 绘制归一化数据折线图 报错 解决 3. 计算移动平均值SMA 移动平均值 实验内容 4. 绘制移动平均值折线图 5 .同时绘制两图 6. array转换为tensor张量 7. 打印张量 一、…

C/C++源程序到可执行程序exe的全过程(及汇编和反汇编的区别)

1.C/C源程序到可执行程序exe的全过程(及汇编和反汇编的区别) 一个现代编译器的主要工作流程如下: 源程序(source code)→预处理器(preprocessor)→编译器(compiler)→汇…

【论文复现】Learning I/O Access Patterns to Improve Prefetching in SSDs 系列 1

文章目录 前言数据集准备数据初探数据处理分配标签抽取有效列并搭建模型训练失败分析 前言 LSTM完成ssd I/的预取 ref: git地址: https://github.com/Chandranil2606/Learning-IO-Access-Patterns-to-improve-prefetching-in-SSDs-paper地址: https://people.ucsc…

halo个人博客搭建及介绍

halo个人博客搭建及介绍 halo介绍 halo强大易用的开源建站工具,配合上丰富的模板与插件,帮助你构建你心中的理想站点。具体可以搜索下官网的搭建指南。 博客技术架构 后端 1.spring reactive ,响应式编程,代码风格简单及高并发队列优化相…

android studio cmake生成.a文件(静态库)及调用(c c++)静态库.a

第一步生成静态库.a文件: cmake 语法如何生成静态库,就不介绍了,比较简单,我下文列出的参考资料里面有详细介绍。 add_library(${CMAKE_PROJECT_NAME} STATICsrc/CalculStatic.cpp)这一步有坑,我刚开始的时候&#x…

数学建模之图论

目录 1 图的基本概念2 如何做图2.1 直接做图2.2 编程做图 3 权重邻接矩阵3.1 无向图3.2 有向图 4 Dijkstra 算法4.1 算法概述4.2 代码实现 5 Floyd 算法5.1 算法概述5.2 代码实现 6 思考题 1 图的基本概念 图论中的图(Graph)是由若干给定的点及连接两点的…

mkp勒索病毒的介绍和防范,勒索病毒解密,数据恢复

mkp勒索病毒是一种新兴的电脑病毒,它会对感染的电脑进行加密,并要求用户支付一定的赎金才能解锁。这种病毒已经引起了全球范围内的关注,因为它不仅具有高危害性,而且还有很强的传播能力。本文将对mkp勒索病毒进行详细介绍&#xf…

群辉NAS:J1900系统盘安装SATA固态硬盘方案【自留记录】

群辉NAS:J1900系统盘安装SATA固态硬盘方案 设备介绍: DSM版本:918 主板CPU:蜗牛星际J1900板 内存:8G DDR3 固态:移速SATA固态(msata在win微桌面识别,群晖安装时候识别不到&#xf…

pdf用什么软件打开?介绍几种常用打开方法

pdf用什么软件打开?PDF是一种广泛使用的文件格式,由于其跨平台和易于共享的特点,它已成为许多人在日常工作和学习中使用的首选文件格式。但是,有时候我们可能会遇到一些问题,比如不知道用什么软件打开PDF文件&#xff…

Hadoop生态之hive

一 概述与特点 之所以把Hive放在Hadoop生态里面去写,是因为它本身依赖Hadoop。Hive是基于Hadoop的一个数据仓库工具,可以将结构化的数据文件映射为一张数据库表,并提供类 SQL 查询功能。 其本质是将 SQL 转换为 MapReduce/Spark 的任务进行运算,底层由 HDFS 来提供…

软件测试/测试开发丨Web自动化 PageObject设计模式

点此获取更多相关资料 本文为霍格沃兹测试开发学社学员学习笔记分享 原文链接:https://ceshiren.com/t/topic/27167 一、page object 模式简介 马丁福勒个人博客 selenium 官网 1.1、传统 UI 自动化的问题 无法适应 UI 频繁变化无法清晰表达业务用例场景大量的样…

微任务创建 -- queueMicrotask()

微任务创建方式: Promise.then(()>{})Mutation Observer()queueMicrotask() 本文主要介绍queueMicrotask()的使用。 queueMicrotask的使用 Window 或 Worker 接口的 queueMicrotask() 方法,将微任务加入队列以在控制返回浏览器的事件循环之前的安全…

Git 版本回退 超神步骤

Git 版本回退 一. 背景 多版本分支开发,合并版本问题太多,需要回滚到某次版本。我的git客服端工具是 sourcetree 二.操作步骤 2.1 切到当前需要回退版本的分支 2.2 右击需要具体某一个分支,这个分支就是你想切到的分支版本,具体…

正版软件 | CloudDrive 多云盘本地挂载管理工具

前言: CloudDrive 是一个强大的多云盘管理工具,提供一站式的多云盘解决方案,包括云盘本地挂载。旨在无缝集成多个云存储服务,统一整合到一个界面。轻松管理和访问所有云存储服务,无需在不同的应用程序和界面之间切换。…

虚拟现实vr元宇宙井下危险隐患排查模拟实训稳固企业生产

数字化时代,职业教育正面临着前所未有的挑战和机遇,元宇宙的兴起,借助元宇宙平台进行钻井虚拟教学实验,基于元宇宙数字空间搭建更丰富、逼真、安全、灵活的实验环境,成为石油行业教育创新的催化剂。 一、降低实验成本 …

Excel·VBA二维数组组合函数的应用实例

看到一个问题《关于#穷举#的问题,如何解决?(语言-开发语言)》,对同一个数据存在“是/否”2种状态,判断其是否参与计算,并输出一系列数据的“是/否”状态的结果 目录 方法1:二维数组组合函数结果 方法2&am…