seci-log 1.02 發(fā)布，日志分析軟件增加了多種告警

我們?cè)?span >日志分析軟件七種告警(非上班時(shí)間訪問(wèn)，非上班地點(diǎn)訪問(wèn)，密碼猜測(cè)，賬號(hào)猜測(cè)，賬號(hào)猜測(cè)成功、敏感文件操作告警和高危命令操作)的基礎(chǔ)上有增加了主機(jī)掃描，端口掃描，非法外聯(lián)告警的內(nèi)容。

主機(jī)掃描

主機(jī)掃描是指在一臺(tái)機(jī)器上對(duì)內(nèi)網(wǎng)或者外網(wǎng)一個(gè)網(wǎng)段進(jìn)行掃描，目的是要發(fā)現(xiàn)網(wǎng)絡(luò)中存活的主機(jī)，為下一步的操作打下基礎(chǔ)。這條告警和下面的端口掃描和非法外聯(lián)都屬于網(wǎng)絡(luò)層面的告警，前提也是需要配置日志策略。在linux系統(tǒng)中大部分都內(nèi)置了iptabe防火墻，可以利用iptable防火墻的日志功能進(jìn)行采集日志，然后進(jìn)行分析這些告警。下面介紹一下日志配置：

1、在linux下執(zhí)行一下命令，可以是iptables的日志從syslog發(fā)送：

iptables-AOUTPUT-ptcp-jLOG--log-prefix"seci-iptables"--log-level4

iptables-AOUTPUT-pudp-jLOG--log-prefix"seci-iptables"--log-level4

2、配置syslog發(fā)送策略：

kern.warning@IP地址

需要注意的是*.info;mail.none;authpriv.none;cron.none;kern.none中要加上kern.none,不然就會(huì)重復(fù)發(fā)送，當(dāng)然可以不要第一條，直接在info中發(fā)送也是可以的。

3、從起syslog服務(wù):

servicersyslogrestart

4、安裝nmap，下面以centos為例：

yuminstallnmap

經(jīng)過(guò)以上配置就可以配置好防護(hù)墻日志發(fā)送策略。

驗(yàn)證過(guò)程，首先要進(jìn)行配置，合法端口。詳見(jiàn)下圖：

執(zhí)行nmap命令：nmap-sP192.168.21.1-20，掃描20臺(tái)主機(jī)。

查看告警：

然后查看告警詳情：

可以發(fā)現(xiàn)，nmap在主機(jī)發(fā)現(xiàn)的掃描中，主要探測(cè)了443和80端口，這個(gè)時(shí)候告警會(huì)產(chǎn)生兩條主機(jī)掃描的告警。

端口掃描

端口掃描是指在一臺(tái)機(jī)器上對(duì)內(nèi)網(wǎng)或者外網(wǎng)的另一臺(tái)機(jī)器進(jìn)行端口掃描，目的是要發(fā)現(xiàn)網(wǎng)絡(luò)中主機(jī)開(kāi)放的端口信息，為下一步的操作打下基礎(chǔ)。這條告警也屬于網(wǎng)絡(luò)層面的告警，前提也是需要配置日志策略。詳細(xì)的配置信息詳見(jiàn)主機(jī)掃描。

驗(yàn)證過(guò)程：執(zhí)行nmap命令：nmap-p20-80192.168.21.1地址，掃描61個(gè)端口。

查看告警：

查看詳情：

   可以看出掃描了此機(jī)器的端口多個(gè)不同端口的信息。

非法外聯(lián)

非法外聯(lián)是指在一臺(tái)機(jī)器上不該有的其他連接信息，比如服務(wù)器，正常情況下可能只開(kāi)放了80，22端口，而且一般服務(wù)器是被動(dòng)接收的日志，當(dāng)發(fā)現(xiàn)日志中有主動(dòng)發(fā)起的連接而且不是規(guī)定的端口，很有可能是中了***，這個(gè)時(shí)候要特別關(guān)注。這條告警也屬于網(wǎng)絡(luò)層面的告警，前提也是需要配置日志策略。詳細(xì)的配置信息詳見(jiàn)主機(jī)掃描。

驗(yàn)證過(guò)程，首先要進(jìn)行配置，合法端口。詳見(jiàn)下圖：

表示本機(jī)22和514端口是合法的端口其他端口都是非法端口，執(zhí)行上面主機(jī)掃描或者端口掃描的nmap命令，即可產(chǎn)生非法外聯(lián)告警。

查看詳情：

從中可以看出有非法外聯(lián)行為，里面的日志有的是和主機(jī)掃描或者端口掃描重復(fù)。