安全审计技术培训
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
12
日志审计的核心技术
• 异构设备和系统的日志信息采集 • 事件归一化 • 事件关联分析 • 海量事件存储 • 全局安全态势监控 • 安全响应
13
日志审计的核心技术之间的关系
安全态势监控
应急响应小组
安全响应
事件关联分析 事件归一化
事件采集和获取
对全网的日志进行综合 审计
将异构的事件变成统一 的事件格式
阻断技术: ➢ ARP欺骗方式 ➢ 主机防火墙方式 ➢ 交换机联动方式
26
外设管理
红外设备:允许/禁止两种方式。 蓝牙设备:允许/禁止两种方式。 调制解调器:允许/禁止两种方式。 USB存储设备:允许/禁止两种方式。 软驱:允许/禁止两种方式。 光驱:允许/禁止两种方式。 串口:允许/禁止两种方式。 并口:允许/禁止两种方式。 PCMCIA设备:允许/禁止两种方式。
主机、应用、FW, IDS,AV,其他网络和 安全设备获取
14
异构事件采集
SNMP Syslog 各种协议类型 直接采集、代理采集、抓包
网络设备 安全设备 主机、服务器 数据库 应用系统 等等
15
全面的日志采集手段
Syslog/NetFlow Snmp trap
OPSEC LEA Nokia/Checkpoint
36
网络行为审计——业务审计
37
当前面临的挑战
• 几个故事:高科技犯罪
– 某移动公司的神州行充值卡盗用事件 – 美国TJX公司信用卡信息泄漏事件 – 交通违章信息非法抹除事件 – 非法窃取公司财务数据库重要数据,CRM系统的重要客户资料 – 医院HIS系统医疗信息、病患信息泄漏事件 – 潜艇信息泄漏事件 – 更多参见:/blog-htm-itemid-9037809-do-showone-uid-
安全审计技术与应用
网御神州SOC事业部
提纲
① 为什么需要安全审计 ② 安全审计的定义与组成 ③ 安全审计技术分析 ④ 安全审计产品选型过程 ⑤ 综合安全审计解决方案 ⑥ 从安全审计平台到安全管理平台 ⑦ 案例分析
2
用户面临的挑战
被动地进行安全防御,造成混乱
我们处于 危险中么?
发生什么了?
有漏洞吗?
42
当前面临的挑战:刑法第七修正案
• 全国人大常委会在今年2月28日通过了刑 法修正案(七)的表决,并且从颁布之日起 实施。刑法修正案(七)第二百五十三条规 定:
PIX 防火墙日志
<164>Dec 07 2005 22:18:55 10.110.4.130 : %PIX-4-106023: Deny tcp src outside: 221111..113377..4433 ..118822 /3158 dst inside: 2211..77 ..225555..221177 / 44455
5
提纲
① 为什么需要安全审计 ② 安全审计的定义与组成 ③ 安全审计技术分析 ④ 安全审计产品选型过程 ⑤ 综合安全审计解决方案 ⑥ 从安全审计平台到安全管理平台 ⑦ 案例分析
6
安全审计的定义
• 安全审计,这里专指IT安全审计,是一套对IT系统及其应用进行量化检 查与评估的技术和过程。
• 安全审计通过对IT系统中相关信息的收集、分析和报告,来判定现有IT 安全控制的有效性,检查IT系统的误用和滥用行为,验证当前安全策略 的合规性,获取犯罪和违规的证据,确认必要的记录被文档化,以及检 测网络异常和入侵
7
安全审计的定义
• 对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事 件及行为采取相应比较动作。
• 信息系统安全审计产品为评估信息系统的安全性和风险、完善安全策略
的制定提供审计数据和审计服务支撑,从而达到保障信息系统正常运行
的目的。同时,信息系统安全审计产品对信息系统各组成要素进行事件
我下一步该 做什么?
重要资产的安全状况无法监控
防火墙
主机
应用
入侵监测系 统IDS
网络设备
身份认证
杀毒
姓名地址 簿服务
3
当前面临的挑战
监控和审计界面过多、手忙脚乱!
4
当前面临的挑战
相关法律法规都有安全审计的要求!
《信息系统安全等级化保护基本要求》二级以上 《ISO27001:2005 》4.3.3小节 《企业内部控制基本规范》及其《配套指引》 《互联网安全保护技术措施规定》第八条
对企业和组织的人迚行审计包括上网行为审计运维操作审计安全审计对象分类基于网络协议分析的安全审计技术安全审计技术类型划分安全响应日志审计的核心技术14日志审计的核心技术乊间的关系应急响应小组事件采集和获取事件采集和获取事件归一化事件归一化事件关联分析事件关联分析安全态势监控安全态势监控安全响应安全响应主机应用fwidsav其他网络和安全设备获取将异构的事件变成统一的事件栺式对全网的日志迚行综合审计15异构事件采集snmpsyslog各种协议类型直接采集代理采集抓包网络设备安全设备主机服务器数据库应用系统等等16nokiacheckpoint日志文件数据事件传感器syslognetflowsnmptrap开放api接口webserviceodbc事件转发器用于跨网段事件采集和分布式事件采集应用文件读取事件ftp第三方系统
27
资产管理
总部 下属单位1 下属单位2 。。。。。。
设置硬件资产信息收集频率,网络中有多少计 算机,哪些人在使用计算机,计算机是哪个部 门的,一目了然;
设置软件资产信息收集频率,计算机安装的什 么操作系统,操作系统的版本,安装了哪些软 件,是否安装了合法的防火墙,是否打全了补 丁,同样一目了然;
33
基于网络协议分析的安全审计
端口镜像
旁路部署、即插即用,对网络没有任 何影响
TAP分接
34
基于网络协议分析的安全审计
• 根据具体部署位置的不同,分为两个子类型
– 上网审计:部署在互联网出口处,审计用户使用互联网的行为 – 业务审计:部署在核心业务系统处,审计对核心业务系统的操作行为
35
网络协议分析——上网审计
第三方系统: 网管、终端管理等
事件转发器
用于跨网段事件采集 和分布式事件采集
数据 库
日志 文件
ODBC
文件读取 FTP
事件传感器
开放API接口 Web Service
事件 源
应用
硬件采集器, 旁路抓包
数据 库
主机
16
事件归一化
设备名 称
设备地址 事件类型
ISS IDS
PIX FW
归一化事件
源IP
目的IP
24
本机代理技术:终端安全管理系统
• 终端节点接入控制 • 外设管理 • 资产管理 • 桌面风险管理 • 节点访问控制 • 终端远程协助 • 移动存储介质管理 • 补丁更新管理 • .........
25
节点接入
管理所有入网设备,对违规接入设备进行阻断,阻止违规接入设备对系 统资源的访问
阻止违规接入设备对系统资源的访问,同时进行非法接入安全审计,对 违规接入进行告警。
A的帐号登录了OA服务器。
门禁日志
OA服务器
OA日志
数据库
VPN日志 19
安全态势监控:信息可视化
20
应急响应
短信、电话告警 电子邮件告警 服务控制台
第三方系统
日志审计
协同联动
网络设备联动
IDS/IPS联动
防火墙/UTM联动
日志审计的技术发展趋势
• 传统的日志审计
– 注重的是日志的存储、基于数据库技术的日志查询和统计 – 问题:缺少对不同设备产生的日志的关联分析,因而难以发现隐藏的威胁和
324773.html
38
案例:某移动公司的神州行充值卡盗用事件
39
案例:美国TJX公司信用卡信息泄漏事件
40
案例:交通违章信息内部违规篡改
对于非法连入内网的计 算机的直接入侵和内部 人员利用合法权限进行 的违规操作,没有任何 防范措施。
41
当前面临的挑战
• 启示:
– 内部员工犯罪,非法获取、修改数据库中的重要数据 – 外包人员犯罪,利用职务之便留下后门修改和伪造数据 – 黑客攻击,窃取核心机密
操作、文件共享操作,等等; 5. 数据库审计:对数据库行为和操作、甚至操作的内容进行审计; 6. 业务系统审计:对业务IT支撑系统的操作、行为、内容的审计; 7. 用户行为审计:对企业和组织的人进行审计,包括上网行为审计、运
维操作审计
11
安全审计技术类型划分
• 基于日志分析的安全审计技术 • 基于本机代理的安全审计技术 • 基于远程代理的安全审计技术 • 基于网络协议分析的安全审计技术
③ 信息存储功能
– 海量审计信息的存储 – 信息完整性、私密性保证
④ 信息展示功能:可视化、告警、联动 ⑤ 自身安全性与可审计性
9
提纲
① 为什么需要安全审计 ② 安全审计的定义与组成 ③ 安全审计技术分析 ④ 安全审计产品选型过程 ⑤ 综合安全审计解决方案 ⑥ 从安全审计平台到安全管理平台 ⑦ 案例分析
违规行为
• 新型的日志审计
– 更加注重日志实时关联分析
• 在内存中进行 • 事件归并 • 事件追踪:一查到底、及时发现违规和入侵
– 更加强调审计的闭环:发现问题后要能够处理问题
• 告警 • 联动
22
传统的日志审计 VS新型日志审计
传统日志审计
日志查询、 统计
告警
硬件资产变化时,可以设置告警; 软件资产变化时,可以设置告警; ……
28
终端远程协助
通过远程协助,管理人员可以响应 远程终端计算机的协助请求,临时接管 远程终端计算机,进行本地化操作。例 如:开关机、搜索可疑文件、服务/进程 查看、系统配置查看、资源使用监视等。 管理人员完成维护操作后,释放对终端 计算机的接管。
10
安全审计对象分类
1. 设备审计:对网络设备、安全设备等各种设备的操作和行为进行审计; 2. 主机审计:审计针对主机(服务器)的各种操作和行为; 3. 终端审计:对终端设备(PC、打印机)等的操作和行为进行审计,
包括预配置审计; 4. 网络审计:对网络中各种访问、操作的审计,例如telnet操作、FTP
采集,将采集数据进行自动综合和系统分析,能够提高信息系统安全管 理的效率
——GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》
8
安全审计产品的功能组成
① 信息采集功能,例如日志、网络数据包
– 数据包:DPI、DFI – 日志:日志归一化技术
② 信息分析功能
– 简单分析:基于数据库的信息查询与比较 – 复杂分析:实时关联分析引擎技术
时出序SQ分L语析句、,累可计丰动视分富作化析告,,警设超
日志类型、操作类 别、意图和结果
同时存储到数据库 中,密文
统为计分分析析,、可趋视势化备协分联同析动防、、御行
多种方式 大规模日志
采集
新型日志审计
日志归一化
内存中 关联分析
日志存储
实时分析
告警
历史分析、 统计
23
安全审计技术类型划分
• 基于日志分析的安全审计技术 • 基于本机代理的安全审计技术 • 基于远程代理的安全审计技术 • 基于网络协议分析的安全审计技术
30
安全审计技术类型划分
• 基于日志分析的安全审计技术 • 基于本机代理的安全审计技术 • 基于远程代理的安全审计技术 • 基于网络协议分析的安全审计技术
31
基于远程代理技术的审计
• 漏洞扫描 • 基线配置扫描 • WEB安全审计 • 多用于事前审计
32
安全审计技术类型划分
• 基于日志分析的安全审计技术 • 基于本机代理的安全审计技术 • 基于远程代理的安全审计技术 • 基于网络协议分析的安全审计技术
以syslog为主; 速度一般2000EPS
简单分类,截取源/ 目的IP和端口、时 间戳等
日志存储到数据库 中,明文
基简于单分SQ析L语句查单询一,告警
包括syslog、 Netflow、ODBC、 代理、探针; 高速采集, 30000+EPS
事件映射归一化, 统一日志严重等级、
一方面存储到内存 中进行关联分析
源端 口
目的 端口
……
描述
…… ……
…… ……
ISS IDS日志
最关键的是事件等级、类型等的归一化
04/25/2005 03:00:10 HTTP IIS Unicode Encoding #ISS From 62.6 .180.195 SPORT 2266771122To 194.117.103.125 DPORT 8 0 Protocol TCP Priority HIGH "Actions: DISPLAY=Default:0,EMAIL=Default:0" Event Specific Information, ISS IP= 194.117.10.88
17
安全事件关联分析——外部入侵示例
18
安全事件关联分析——内部违规示例
1.用户A进入公司服务器机房,通过门禁的时候打卡了,打卡信息记录 到了管理中心;
2.用户B在家里通过计算机使用用户A的VPN帐号登录公司网络; 3.登录后,防火墙产生了一条VPN登录日志,送到了管理中心; 4.用户B登录OA服务器,服务器产生一条日志,送到管理中心 5.此时,SecFox-LAS的界面显示告警事件,表明有一个用户非法使用了
29
移动存储介质管理
通过移动介质交换的数据是密文,数据离开应用 环境后不可用; 数据交换前必须通过正确的身份认证,包括密码 认证或USB KEY等授权硬件的身份认证; 记录数据交换过程的工作日志,便于以后进行跟 踪审计; 未经授权的移动介质,在工作环境中不可用,只 有经过企业授权的移动介质才能进入到企业的办 公环境; 工作配发的移动介质带出办公环境后变为不可用。
日志审计的核心技术
• 异构设备和系统的日志信息采集 • 事件归一化 • 事件关联分析 • 海量事件存储 • 全局安全态势监控 • 安全响应
13
日志审计的核心技术之间的关系
安全态势监控
应急响应小组
安全响应
事件关联分析 事件归一化
事件采集和获取
对全网的日志进行综合 审计
将异构的事件变成统一 的事件格式
阻断技术: ➢ ARP欺骗方式 ➢ 主机防火墙方式 ➢ 交换机联动方式
26
外设管理
红外设备:允许/禁止两种方式。 蓝牙设备:允许/禁止两种方式。 调制解调器:允许/禁止两种方式。 USB存储设备:允许/禁止两种方式。 软驱:允许/禁止两种方式。 光驱:允许/禁止两种方式。 串口:允许/禁止两种方式。 并口:允许/禁止两种方式。 PCMCIA设备:允许/禁止两种方式。
主机、应用、FW, IDS,AV,其他网络和 安全设备获取
14
异构事件采集
SNMP Syslog 各种协议类型 直接采集、代理采集、抓包
网络设备 安全设备 主机、服务器 数据库 应用系统 等等
15
全面的日志采集手段
Syslog/NetFlow Snmp trap
OPSEC LEA Nokia/Checkpoint
36
网络行为审计——业务审计
37
当前面临的挑战
• 几个故事:高科技犯罪
– 某移动公司的神州行充值卡盗用事件 – 美国TJX公司信用卡信息泄漏事件 – 交通违章信息非法抹除事件 – 非法窃取公司财务数据库重要数据,CRM系统的重要客户资料 – 医院HIS系统医疗信息、病患信息泄漏事件 – 潜艇信息泄漏事件 – 更多参见:/blog-htm-itemid-9037809-do-showone-uid-
安全审计技术与应用
网御神州SOC事业部
提纲
① 为什么需要安全审计 ② 安全审计的定义与组成 ③ 安全审计技术分析 ④ 安全审计产品选型过程 ⑤ 综合安全审计解决方案 ⑥ 从安全审计平台到安全管理平台 ⑦ 案例分析
2
用户面临的挑战
被动地进行安全防御,造成混乱
我们处于 危险中么?
发生什么了?
有漏洞吗?
42
当前面临的挑战:刑法第七修正案
• 全国人大常委会在今年2月28日通过了刑 法修正案(七)的表决,并且从颁布之日起 实施。刑法修正案(七)第二百五十三条规 定:
PIX 防火墙日志
<164>Dec 07 2005 22:18:55 10.110.4.130 : %PIX-4-106023: Deny tcp src outside: 221111..113377..4433 ..118822 /3158 dst inside: 2211..77 ..225555..221177 / 44455
5
提纲
① 为什么需要安全审计 ② 安全审计的定义与组成 ③ 安全审计技术分析 ④ 安全审计产品选型过程 ⑤ 综合安全审计解决方案 ⑥ 从安全审计平台到安全管理平台 ⑦ 案例分析
6
安全审计的定义
• 安全审计,这里专指IT安全审计,是一套对IT系统及其应用进行量化检 查与评估的技术和过程。
• 安全审计通过对IT系统中相关信息的收集、分析和报告,来判定现有IT 安全控制的有效性,检查IT系统的误用和滥用行为,验证当前安全策略 的合规性,获取犯罪和违规的证据,确认必要的记录被文档化,以及检 测网络异常和入侵
7
安全审计的定义
• 对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事 件及行为采取相应比较动作。
• 信息系统安全审计产品为评估信息系统的安全性和风险、完善安全策略
的制定提供审计数据和审计服务支撑,从而达到保障信息系统正常运行
的目的。同时,信息系统安全审计产品对信息系统各组成要素进行事件
我下一步该 做什么?
重要资产的安全状况无法监控
防火墙
主机
应用
入侵监测系 统IDS
网络设备
身份认证
杀毒
姓名地址 簿服务
3
当前面临的挑战
监控和审计界面过多、手忙脚乱!
4
当前面临的挑战
相关法律法规都有安全审计的要求!
《信息系统安全等级化保护基本要求》二级以上 《ISO27001:2005 》4.3.3小节 《企业内部控制基本规范》及其《配套指引》 《互联网安全保护技术措施规定》第八条
对企业和组织的人迚行审计包括上网行为审计运维操作审计安全审计对象分类基于网络协议分析的安全审计技术安全审计技术类型划分安全响应日志审计的核心技术14日志审计的核心技术乊间的关系应急响应小组事件采集和获取事件采集和获取事件归一化事件归一化事件关联分析事件关联分析安全态势监控安全态势监控安全响应安全响应主机应用fwidsav其他网络和安全设备获取将异构的事件变成统一的事件栺式对全网的日志迚行综合审计15异构事件采集snmpsyslog各种协议类型直接采集代理采集抓包网络设备安全设备主机服务器数据库应用系统等等16nokiacheckpoint日志文件数据事件传感器syslognetflowsnmptrap开放api接口webserviceodbc事件转发器用于跨网段事件采集和分布式事件采集应用文件读取事件ftp第三方系统
27
资产管理
总部 下属单位1 下属单位2 。。。。。。
设置硬件资产信息收集频率,网络中有多少计 算机,哪些人在使用计算机,计算机是哪个部 门的,一目了然;
设置软件资产信息收集频率,计算机安装的什 么操作系统,操作系统的版本,安装了哪些软 件,是否安装了合法的防火墙,是否打全了补 丁,同样一目了然;
33
基于网络协议分析的安全审计
端口镜像
旁路部署、即插即用,对网络没有任 何影响
TAP分接
34
基于网络协议分析的安全审计
• 根据具体部署位置的不同,分为两个子类型
– 上网审计:部署在互联网出口处,审计用户使用互联网的行为 – 业务审计:部署在核心业务系统处,审计对核心业务系统的操作行为
35
网络协议分析——上网审计
第三方系统: 网管、终端管理等
事件转发器
用于跨网段事件采集 和分布式事件采集
数据 库
日志 文件
ODBC
文件读取 FTP
事件传感器
开放API接口 Web Service
事件 源
应用
硬件采集器, 旁路抓包
数据 库
主机
16
事件归一化
设备名 称
设备地址 事件类型
ISS IDS
PIX FW
归一化事件
源IP
目的IP
24
本机代理技术:终端安全管理系统
• 终端节点接入控制 • 外设管理 • 资产管理 • 桌面风险管理 • 节点访问控制 • 终端远程协助 • 移动存储介质管理 • 补丁更新管理 • .........
25
节点接入
管理所有入网设备,对违规接入设备进行阻断,阻止违规接入设备对系 统资源的访问
阻止违规接入设备对系统资源的访问,同时进行非法接入安全审计,对 违规接入进行告警。
A的帐号登录了OA服务器。
门禁日志
OA服务器
OA日志
数据库
VPN日志 19
安全态势监控:信息可视化
20
应急响应
短信、电话告警 电子邮件告警 服务控制台
第三方系统
日志审计
协同联动
网络设备联动
IDS/IPS联动
防火墙/UTM联动
日志审计的技术发展趋势
• 传统的日志审计
– 注重的是日志的存储、基于数据库技术的日志查询和统计 – 问题:缺少对不同设备产生的日志的关联分析,因而难以发现隐藏的威胁和
324773.html
38
案例:某移动公司的神州行充值卡盗用事件
39
案例:美国TJX公司信用卡信息泄漏事件
40
案例:交通违章信息内部违规篡改
对于非法连入内网的计 算机的直接入侵和内部 人员利用合法权限进行 的违规操作,没有任何 防范措施。
41
当前面临的挑战
• 启示:
– 内部员工犯罪,非法获取、修改数据库中的重要数据 – 外包人员犯罪,利用职务之便留下后门修改和伪造数据 – 黑客攻击,窃取核心机密
操作、文件共享操作,等等; 5. 数据库审计:对数据库行为和操作、甚至操作的内容进行审计; 6. 业务系统审计:对业务IT支撑系统的操作、行为、内容的审计; 7. 用户行为审计:对企业和组织的人进行审计,包括上网行为审计、运
维操作审计
11
安全审计技术类型划分
• 基于日志分析的安全审计技术 • 基于本机代理的安全审计技术 • 基于远程代理的安全审计技术 • 基于网络协议分析的安全审计技术
③ 信息存储功能
– 海量审计信息的存储 – 信息完整性、私密性保证
④ 信息展示功能:可视化、告警、联动 ⑤ 自身安全性与可审计性
9
提纲
① 为什么需要安全审计 ② 安全审计的定义与组成 ③ 安全审计技术分析 ④ 安全审计产品选型过程 ⑤ 综合安全审计解决方案 ⑥ 从安全审计平台到安全管理平台 ⑦ 案例分析
违规行为
• 新型的日志审计
– 更加注重日志实时关联分析
• 在内存中进行 • 事件归并 • 事件追踪:一查到底、及时发现违规和入侵
– 更加强调审计的闭环:发现问题后要能够处理问题
• 告警 • 联动
22
传统的日志审计 VS新型日志审计
传统日志审计
日志查询、 统计
告警
硬件资产变化时,可以设置告警; 软件资产变化时,可以设置告警; ……
28
终端远程协助
通过远程协助,管理人员可以响应 远程终端计算机的协助请求,临时接管 远程终端计算机,进行本地化操作。例 如:开关机、搜索可疑文件、服务/进程 查看、系统配置查看、资源使用监视等。 管理人员完成维护操作后,释放对终端 计算机的接管。
10
安全审计对象分类
1. 设备审计:对网络设备、安全设备等各种设备的操作和行为进行审计; 2. 主机审计:审计针对主机(服务器)的各种操作和行为; 3. 终端审计:对终端设备(PC、打印机)等的操作和行为进行审计,
包括预配置审计; 4. 网络审计:对网络中各种访问、操作的审计,例如telnet操作、FTP
采集,将采集数据进行自动综合和系统分析,能够提高信息系统安全管 理的效率
——GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》
8
安全审计产品的功能组成
① 信息采集功能,例如日志、网络数据包
– 数据包:DPI、DFI – 日志:日志归一化技术
② 信息分析功能
– 简单分析:基于数据库的信息查询与比较 – 复杂分析:实时关联分析引擎技术
时出序SQ分L语析句、,累可计丰动视分富作化析告,,警设超
日志类型、操作类 别、意图和结果
同时存储到数据库 中,密文
统为计分分析析,、可趋视势化备协分联同析动防、、御行
多种方式 大规模日志
采集
新型日志审计
日志归一化
内存中 关联分析
日志存储
实时分析
告警
历史分析、 统计
23
安全审计技术类型划分
• 基于日志分析的安全审计技术 • 基于本机代理的安全审计技术 • 基于远程代理的安全审计技术 • 基于网络协议分析的安全审计技术
30
安全审计技术类型划分
• 基于日志分析的安全审计技术 • 基于本机代理的安全审计技术 • 基于远程代理的安全审计技术 • 基于网络协议分析的安全审计技术
31
基于远程代理技术的审计
• 漏洞扫描 • 基线配置扫描 • WEB安全审计 • 多用于事前审计
32
安全审计技术类型划分
• 基于日志分析的安全审计技术 • 基于本机代理的安全审计技术 • 基于远程代理的安全审计技术 • 基于网络协议分析的安全审计技术
以syslog为主; 速度一般2000EPS
简单分类,截取源/ 目的IP和端口、时 间戳等
日志存储到数据库 中,明文
基简于单分SQ析L语句查单询一,告警
包括syslog、 Netflow、ODBC、 代理、探针; 高速采集, 30000+EPS
事件映射归一化, 统一日志严重等级、
一方面存储到内存 中进行关联分析
源端 口
目的 端口
……
描述
…… ……
…… ……
ISS IDS日志
最关键的是事件等级、类型等的归一化
04/25/2005 03:00:10 HTTP IIS Unicode Encoding #ISS From 62.6 .180.195 SPORT 2266771122To 194.117.103.125 DPORT 8 0 Protocol TCP Priority HIGH "Actions: DISPLAY=Default:0,EMAIL=Default:0" Event Specific Information, ISS IP= 194.117.10.88
17
安全事件关联分析——外部入侵示例
18
安全事件关联分析——内部违规示例
1.用户A进入公司服务器机房,通过门禁的时候打卡了,打卡信息记录 到了管理中心;
2.用户B在家里通过计算机使用用户A的VPN帐号登录公司网络; 3.登录后,防火墙产生了一条VPN登录日志,送到了管理中心; 4.用户B登录OA服务器,服务器产生一条日志,送到管理中心 5.此时,SecFox-LAS的界面显示告警事件,表明有一个用户非法使用了
29
移动存储介质管理
通过移动介质交换的数据是密文,数据离开应用 环境后不可用; 数据交换前必须通过正确的身份认证,包括密码 认证或USB KEY等授权硬件的身份认证; 记录数据交换过程的工作日志,便于以后进行跟 踪审计; 未经授权的移动介质,在工作环境中不可用,只 有经过企业授权的移动介质才能进入到企业的办 公环境; 工作配发的移动介质带出办公环境后变为不可用。