溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
我們在日志分析軟件七種告警(非上班時間訪問,非上班地點訪問,密碼猜測,賬號猜測,賬號猜測成功、敏感文件操作告警和高危命令操作)的基礎上有增加了主機掃描,端口掃描,非法外聯告警的內容。
主機掃描是指在一臺機器上對內網或者外網一個網段進行掃描,目的是要發現網絡中存活的主機,為下一步的操作打下基礎。這條告警和下面的端口掃描和非法外聯都屬于網絡層面的告警,前提也是需要配置日志策略。在linux系統中大部分都內置了iptabe防火墻,可以利用iptable防火墻的日志功能進行采集日志,然后進行分析這些告警。下面介紹一下日志配置:
1、在linux下執行一下命令,可以是iptables的日志從syslog發送:
iptables-AOUTPUT-ptcp-jLOG--log-prefix"seci-iptables"--log-level4
iptables-AOUTPUT-pudp-jLOG--log-prefix"seci-iptables"--log-level4
2、配置syslog發送策略:
kern.warning@IP地址
需要注意的是*.info;mail.none;authpriv.none;cron.none;kern.none中要加上kern.none,不然就會重復發送,當然可以不要第一條,直接在info中發送也是可以的。
3、從起syslog服務:
servicersyslogrestart
4、安裝nmap,下面以centos為例:
yuminstallnmap
經過以上配置就可以配置好防護墻日志發送策略。
驗證過程,首先要進行配置,合法端口。詳見下圖:
執行nmap命令:nmap-sP192.168.21.1-20,掃描20臺主機。
查看告警:
然后查看告警詳情:
可以發現,nmap在主機發現的掃描中,主要探測了443和80端口,這個時候告警會產生兩條主機掃描的告警。
端口掃描是指在一臺機器上對內網或者外網的另一臺機器進行端口掃描,目的是要發現網絡中主機開放的端口信息,為下一步的操作打下基礎。這條告警也屬于網絡層面的告警,前提也是需要配置日志策略。詳細的配置信息詳見主機掃描。
驗證過程:執行nmap命令:nmap-p20-80192.168.21.1地址,掃描61個端口。
查看告警:
查看詳情:
可以看出掃描了此機器的端口多個不同端口的信息。
非法外聯是指在一臺機器上不該有的其他連接信息,比如服務器,正常情況下可能只開放了80,22端口,而且一般服務器是被動接收的日志,當發現日志中有主動發起的連接而且不是規定的端口,很有可能是中了***,這個時候要特別關注。這條告警也屬于網絡層面的告警,前提也是需要配置日志策略。詳細的配置信息詳見主機掃描。
驗證過程,首先要進行配置,合法端口。詳見下圖:
表示本機22和514端口是合法的端口其他端口都是非法端口,執行上面主機掃描或者端口掃描的nmap命令,即可產生非法外聯告警。
查看詳情:
從中可以看出有非法外聯行為,里面的日志有的是和主機掃描或者端口掃描重復。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
