溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

用OSSIM可視化顯示SSH異常行為

發(fā)布時(shí)間:2020-06-04 06:00:16 來(lái)源:網(wǎng)絡(luò) 閱讀:724 作者:李晨光 欄目:系統(tǒng)運(yùn)維

當(dāng)遇到SSH異常行為時(shí)我們通常選擇到日志服務(wù)器上被動(dòng)查看和分析日志,這樣往往無(wú)法實(shí)時(shí)發(fā)現(xiàn)可疑IP的異常行為,下面通過(guò)OSSIM平臺(tái)大數(shù)據(jù)分析智能篩選出疑似Attack行為。

場(chǎng)景再現(xiàn):
小張最近在使用某云服務(wù)器的過(guò)程中,被比特幣Hacker光顧了服務(wù)器....,損失慘重。在備份好重要資料之后,重新安裝了系統(tǒng),沒(méi)過(guò)多久服務(wù)器又掛了。
在隨后的調(diào)查中,小張?jiān)诜?wù)器中發(fā)現(xiàn)了一些蛛絲馬跡,auth.log文件有很多不明IP通過(guò)22端口嘗試以ssh用戶名密碼的方式登錄服務(wù)器....
#grep "Failed password " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
2990 Failed
2208 222.186.50.190
654 94.102.3.151
303 106.186.21.162
299 115.239.248.90
... ... ...
... ... ...
通過(guò)日志分析很有可能SSH A t t a c k 。有什么辦法能第一時(shí)間發(fā)現(xiàn)此類問(wèn)題呢?
下面我們通過(guò)OSSIM報(bào)警平臺(tái)實(shí)時(shí)觀察到網(wǎng)絡(luò)異常行為報(bào)警。
用OSSIM可視化顯示SSH異常行為
圖1 網(wǎng)絡(luò)異常行為可視化

點(diǎn)擊氣泡圖中某天的一條報(bào)警聚合信息
用OSSIM可視化顯示SSH異常行為
圖2 事件聚合

查看詳細(xì)事件
用OSSIM可視化顯示SSH異常行為
圖3 詳細(xì)日志

查看疑似異常行為主機(jī)的網(wǎng)絡(luò)信息以及IP地理位置信息
用OSSIM可視化顯示SSH異常行為
圖4 IP定位

用OSSIM可視化顯示SSH異常行為
圖5 關(guān)聯(lián)分析所得到的Alarm

每一條Alarm中系統(tǒng)提供了此事件的知識(shí)庫(kù)
用OSSIM可視化顯示SSH異常行為
圖6 KDB 信息描述

用OSSIM可視化顯示SSH異常行為

用OSSIM可視化顯示SSH異常行為

關(guān)注OSSIM公眾號(hào)可觀看視頻講解
用OSSIM可視化顯示SSH異常行為

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI