应用场景:SSH日志可视化分析
说起日志可视化,听上去高大上,实现起来不是进过繁琐配置就是需要写代码,这一目标小白的确门槛有些高,其实不然,只要你选对平台,实现起来很容易。
下面是从若干条SSH日志中随机抽取的一条,我们能从中发现何种端倪?
Mar 17 01:47:21 10.X.Y.Z sshd[14845]: Failed password for root from 1X.1Y.Z.Z port 59562 ssh2
一般而言我们从上面的日志能了解到时间、IP地址、端口号,进程名等常规信息,再也看不出更深入的东西,如果是成千上万条类似这种信息,我们需要花费多长时间来分析?结论是否客观?我想每个人心中都会有答案。下面带着疑问我们先看看OSSIM的分析结果:
特征:口令验证失败
时间:间隔非常密集,到底密集到什么程度?接下来我们用SIEM控制台下的timeline功能进行量化。
源地址、目的地址、源端口、目的端口 用户名、风险值等等。
下面的时间线分析,将直观的看出每秒攻击的次数。
好了,我们再去仔细观察经过归一化处理后的SSH暴力破解的安全事件内容。
这里直观的告诉我们攻击类型,次数持续时间,IP地址所属国家,甚至可以在谷歌地图上精确定位IP
接下来我们在启动全局报警图上找到这类SSH暴力破解报警信息。
还可在仪表盘上,轻松的展示出这类报警所占比例,便于安全人员更深入分析这次安全事件发生发展及一些因果关系。
好了,仅一条SSH口令认证失败的日志信息牵扯出如此多的内容,下面还有更多的日志等着我们分析... ...
参考资料:
经典OSSIM教程 《Unix/Linux网络日志分析与流量监控》
OSSIM多媒体教程:http://edu.51cto.com/course/course_id-1186.html
本文出自 “李晨光原创技术博客” 博客,请务必保留此出处http://chenguang.blog.51cto.com/350944/1623321
原文:http://chenguang.blog.51cto.com/350944/1623321
