seci-log 開源日志分析軟件發布了

n6bg 9年前發布 | 9K 次閱讀 seci-log

隨著互聯網和云計算的發展，公有云服務器是人們越來越容易接受的產品，其最普遍受益的一點就是節省成本。企業不必像擁有私有云那樣去購買，安裝，操作或運維服務器或是其他設備。在一個公有云的服務供應商提供的平臺上，企業只需使用或開發他們自己的應用程序即可。但公有云的安全問題也是顯而易見的，基于Internet的公有云服務的特性，全世界只要能上網的人就可以訪問到其云服務器，其在云主機及其云上的數據受到威脅會更多而且更復雜，數據相對于私有云處于一個不穩定的狀態。不管是傳統的信息化還是未來趨勢的云計算，都面臨著安全的風險，從安全防護的角度來說，需要一個循序漸進的方式去完善安全體系。一般建設的順序是網絡安全、主機安全、數據安全的順序逐步完善。

但對于很多中小企業來說，本身的設備也不是太多，也就幾臺到幾十臺而已，如果花費太多的精力去搞安全也不劃算，如果不搞又感覺不放心。那什么方面的內容是中小企業關注的呢？個人認為應該優先關注訪問安全，就是有沒有人非法訪問你的服務器，因為在云平臺下，任何人只要接入網絡都可以訪問到你的機器。所以我認為應該優先關注此信息，報告非上班時間訪問，非上班地點訪問，密碼猜測，賬號猜測，賬號猜測成功等行為。從我了解的情況下，這部分目前還沒有比較有效的開源或者免費工具供大家使用，現在elk用的比較多，但大多數情況下都不太適合中小公司，門檻太高。因此本公司針對這種情況，專門開發了賽克藍德日志分析軟件,并開源了web管理端。

首先上一張門戶圖：

下面來分析下幾種告警：

非上班時間登錄

本次告警規則為非上班時間登錄系統，主要的目的是防止有人在非上班時間登錄系統，這種情況是比較危險的。

驗證過程：

首先配置非上班時間，這個系統已經內置，在安全配置的安全配置中。默認0點到8點，晚上20點到24點為非上班時間。

然后再用ssh連接工具，比如SecureCRT登錄系統。這個時候就會有一條日志記錄。

從日志上可以看出，登錄時間為21:32:28秒，是屬于非上班時間。登錄后等個兩三分中到WEB關系系統中查看日志和告警。

可以看出系統記錄了日志，并產生了告警。

非上班地點登錄

本次告警規則為非上班地點登錄系統，主要的目的是防止有人在非上班地點登錄系統，這種情況是比較危險的。

驗證過程：

首先配置上班地點。這些數據要根據工作環境設置。從中可以看出這里里面沒有192.168.21.1。需要注意的是配置完成后需要重新啟動采集器來加載配置參數。

驗證的過程和非上班時間一致。這個時候會產生一條非上班地點告警。需要注意的是對同一條事件如果滿足多個告警規則，會生成多條告警，但日志只有一條。

從告警日志的詳情來看和剛才的非上班時間登錄是同一條日志。

當把192.168.21.1添加到上班地點中的時候，在做一次登錄操作。這時候發現并沒有產生告警，則表示此規則生效。

密碼猜測攻擊

密碼猜測攻擊是一種非常常見的攻擊手段，其特征是一段時間內容有連續的錯誤登錄日志，則可以確定為密碼猜測攻擊。

驗證過程：

在一段時間內連續輸錯密碼即可。從日志上看，在短時間內輸錯了3次密碼。

產生的告警如下：

對應的事件：

這里面有個疑問就是多條日志在這里面只有一條日志，但對應的告警數量是3，這是因為在系統中對原始事件做了歸并處理，當系統發現原始事件是一類的時候，就把這些事件合并成一條事件，對應的事件數量為實際發生的數量。

賬號猜測攻擊

賬號猜測攻擊是一種非常常見的攻擊手段，一般被攻擊者首先要確定主機的賬號后才能對其發起進一步的攻擊。所以一般攻擊者首先會猜測root的賬號，所以修改 root賬號名稱或者禁止root賬號遠程登陸是非常有效的安全手段。其特征是一段時間內容有連續的賬號不存在登錄日志，則可以確定為賬號猜測攻擊。告警規則如下：