安全分析效果与数据源质量密切相关

知识开发
收藏
4 931
Sunny912
牵手一生 未认证 2018-05-02 13:48:45
付费话题:0 积分

大家都知道,信息安全分析与证据调查的基础之一,就是日志。

而要想获得切实的证据,并清晰地全方位展示,就必须有良好的数据源,数据源质量应包含以下两个方面:

第一、日志获取全面;

第二、日志范化准确。

第二点就不多说了,基于范化的介绍本论坛有很多,而且也很繁杂。总之,一语无法概之。

就第一点,先讲一个实施时的实例:某地铁公司,安装了我们的态势感知系统,其中要对该单位的所有日志进行多纬度分析。

在进行Cisco交换机的账户进行登录分析时,发现总是没有相关日志信息,根据Cisco公开的部分资料显示,其仅介绍了Syslog的简单配置:

设置日志发送级别:
Cisco-SW(config)#logging  trap informational
设置远程日志服务器主机地址:
Cisco-SW(config)#logging 192.168.10.51

从资料显示,Cisco的登录日志级别是6,也就是informational的,按说,这个时候除了debugging的日志外,是可以全部收到才对。而事实上,系统还是没有该日志信息。

那究竟是什么原因导致呢?

看资料,激活登录检查成功登录和失败的登录尝试。指定“日志”将生成Syslog消息。这样才将把它们全部记录下来。

Cisco-SW(config)#login on-success log
Cisco-SW(config)#login on-failure log

再次进行登录尝试,成功和失败的均已获得,配置成功!


总体来说,当发现想要策略没有被命中时,是需要从上面这两个方面来查找问题的!质量好的数据,是一定可以展现非常帮的分析效果的。


编外:

一些网络设备,基本上都具备一些简单的防护策略,就如这个Cisco交换机来说,在配置中,先选择激活登录检查成功和失败的登录尝试,并指定将“日志”生成Syslog消息。让设备将所有的登录全部记录下来。 然后建立一个安静的时间周期,直到没有登录失败日志为止。使用【login block-for】命令创建一个ACL。指定在一定时间跨度(如60秒)内有一定次数(如3次)失败的尝试,登录将被禁用一段时间(如120秒)。这样就能很好地阻止交换机上的暴力攻击事件了。







回帖
  • ct
    2018-05-07 15:33:21

    棒棒哒

    0 回复
  • cyberguy
    2018-05-07 13:14:47

    没有数据就没有效果。

    0 回复
  • jazz
    2018-05-02 13:42:22

    这篇不描述策略的配置,仅描述因数据质量的问题(数据不全)时,会导致安全分析策略无效的现象。具体的策略配置会另有说明。

    0 回复
  • 一辉
    2018-05-02 10:28:50

    关键是赛博坦平台上如何配置呢?

    0 回复