数据安全解析思想探索
发布时间:2022-07-07 05:29:44 所属栏目:安全 来源:互联网
导读:安全日志分析的目的意义 1.通过对企业内部的各项数据进行汇总关联分析,如防火墙、安全设备、WAF、HIDS等产生的攻击日志,关联killchain的上下文信息,感知可能正在发生的攻击,从而规避存在的安全风险; 2.安全检测:从不同角度维度检测系统内部的安全风险
|
安全日志分析的目的意义 1.通过对企业内部的各项数据进行汇总关联分析,如防火墙、安全设备、WAF、HIDS等产生的攻击日志,关联killchain的上下文信息,感知可能正在发生的攻击,从而规避存在的安全风险; 2.安全检测:从不同角度维度检测系统内部的安全风险; 3.应急响应:从日志中还原攻击者的攻击路径,从而挽回已经造成的损失; 4.溯源分析:回溯攻击入口与方式; 5.安全趋势:从较大的角度观察攻击者更“关心”哪些系统; 6.安全漏洞:发现已知或未知攻击方法,从日志中发现应用0day、Nday; 在数据收集阶段,我们要从数据分析的角度去思考,我们在做安全分析的时候,我们需要哪些数据,由此产生以下4问。 1.What 收集哪些数据 2.Where 数据在哪 3.How 如何去收集 4.All 数据接完了吗 1.1 What:收集哪些? 下面简单列出一些收集的日志,重点在于,收集的对象,它能产出哪些日志? 1.1.1 服务器日志服务器日志包括系统运行,账户认证,命令操作,系统运行等等日志。 1.1.2 流量检测日志流量检测设备通过旁路的方式分析全网流量,包括DNS请求,SMTP发送日志。 1.1.3 设备日志设备的种类很多,每一种设备都有自己检测的日志 网络设备:VPN,负载,代理服务器,路由,交换 安全设备:FW,IDS,IPS,AV,UTM,WAF,APT,抗DDoS 审计设备:数据库审计,上网行为,运维安全审计,内网审计系统 PC终端:杀毒软件 1.1.4 应用日志:Nginx,Tomcat,Jboss,Apache,Tuxedo,WebLogic 1.1.5 数据库日志:DB2,MySQL日志,Oracle日志,SQLserver 1.1.6 应用系统日志认证系统:堡垒机,电子签章,CA认证,身份服务引擎,无线网络控制 管理系统:数据库管理系统,数据交换系统 1.1.7 业务日志 1.1.8 ...... 确定了收集哪些方面的数据后,然后就需要了解这些服务器设备有哪些日志,在数据安全分析时需要服务器及安全设备的哪些日志。 (编辑:上饶站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
