基于日志的安全分析实战

背景

越来越多的企业开始重视构建基于日志的安全分析与防护系统。我们会讲述如何使用日志服务从0到1收集海量日志，并从中实时筛选、甄别出可疑操作并快速分析，进一步构建安全大盘与可视化。并通过实战方式，演练覆盖几个典型安全分析场景。

目标

了解日志服务对于安全日志分析的场景的支持。
通过演练，了解如何使用日志服务进行典型安全场景的威胁识别与分析，包括：
- 场景一：主机被暴力破解与异常登录识别
- 场景二：数据库被SQL攻击与拖库识别
- 场景三：Web服务被CC攻击的行为分析
了解如何构建安全大盘与可视化。

议程

现场产品介绍（5~8分钟）
准备工作（2分钟）
实战练习与问答（~20分钟）

准备工作

您需要一台能够上网的笔记本
现场会发送【测试账号】给各位
- 注意：每一个独立的测试账号，都已经预先准备好了环境数据和部分参考配置，以便大家更高效的完成实战。
打开浏览器（推荐Chrome），跳转到日志服务控制台，根据提示，输入账号信息登录即可。
跳转到预先准备好的项目yq201809-阿里云ID
- 直达链接（需要替换掉阿里云ID）：https://sls.console.aliyun.com/#/project/yq201809-阿里云ID/categoryList
跳转到预先准备好的日志库yq-demo的查询页面即可：
- 直达链接（需要替换掉阿里云ID）：https://sls.console.aliyun.com/next/project/yq201809-阿里云ID/logsearch/yq-demo

步骤

场景一：主机被暴力破解与异常登录识别

1. 查看登录日志

在查询界面输入如下，即可看到主机登录的日志：

__topic__ : winlogin

日志的结构如下：

__topic__:  winlogin         // 日志主题：登录日志为winlogin
client_ip:  197.210.226.56   // 登录客户端IP
result:  success             // 登录结果：success / fail
target:  host4.test.com      // 被登录的机器
target_type:  server         // 机器类型 server（服务器）, normal
type:  ssh                   // 登录方式：ssh, rdp
user:  admin                 // 登录账户

2. 识别暴力破解

任务：通过SQL关联分析，识别暴力破解
逻辑：特定服务器被连续失败登录后有一个成功登录
参考：可以参考预先配置好的【快速查询】：暴力破解

3. 识别异常登录

任务：通过SQL地理函数与安全函数分析登录地址，识别异常登录
逻辑：平时服务器都是从中国区或者美国（VPN)登入，出现了从其他国外登入的IP，且改IP为感染IP。
参考：可以参考预先配置好的【快速查询】：异常登录

4. 构建登录安全大屏

任务：通过地图图表构建登录仪表盘，将潜在风险加入仪表盘
参考：可以参考预先配置好的【仪表盘】：场景一：....

场景二：数据库被SQL攻击与拖库识别

1. 查看登录日志

在查询界面输入如下，即可看到mysql的SQL执行日志：

__topic__ : mysql

日志的结构如下：

__topic__:  mysql      // 日志主题：SQL执行日志为mysql
sql:  SELECT * FROM accounts WHERE id >= 20000 and id < 30000 limit 10000   // 执行的SQL
target:  db1.abc.com   // 数据库服务器
db_name:  crm_system   // 数据库
table_name:  accounts  // 表格
sql_type:  select      // SQL类型： select, update, delete等
user:  op_user1        // 执行SQL的用户
client_ip:  1.2.3.4    // 连接执行的客户端IP
affected_rows:  10000  // 影响的函数，例如返回的行数
response_time:  1210   // 执行的响应时间（毫秒）

2. 识别SQL攻击

任务：通过SQL解析，识别SQL攻击
逻辑：黑客通过获取了数据库账户（或者通过SQL注入），执行了一系列的SQL语句，将病毒写入服务器磁盘。（例如dumpfile into）
参考：可以参考预先配置好的【快速查询】：SQL攻击

3. 识别拖库

任务：通过SQL统计，识别SQL拖库
逻辑：黑客通过获取了数据库账户，执行了一系列的SELECT的SQL语句，将重要表格（例如账户、订单信息）拖出。
参考：可以参考预先配置好的【快速查询】：数据库拖库

4. 构建数据库安全大屏

任务：结合前面的规则，构建自己的数据库安全大屏
参考：可以参考预先配置好的【仪表盘】：场景二：....

场景三：Web服务被CC攻击的行为分析

1. 查看登录日志

在查询界面输入如下，即可看到DDoS高防的访问与攻击日志：

__topic__ : ddos_access_log

参考DDoS高防访问日志格式.

2. 识别CC攻击规则

任务：查看CC攻击目标站点与特点
逻辑：CC攻击的日志通过cc_blocks > 0可以获得
参考：可以参考预先准备好的场景三：... DDoS的运营中心与访问中心仪表盘.

3. 查看DDoS安全大盘

查看现有仪表盘，修改并调整DDoS安全大盘：

预览:

原文链接
本文为云栖社区原创内容，未经允许不得转载。

2018年9月杭州云栖大会Workshop - 基于日志的安全分析实战相关推荐

“产教融合新范式，校企聚力新实践”——2018杭州云栖大会大学合作专场论坛成功举办...
9月19日-22日,"驱动数字中国"2018杭州云栖大会在杭州云栖小镇隆重举行.在这一年一度的科技领域盛会中,阿里云大学都会举办大学合作论坛,今年该论坛的主题为"产教融合 ...
【不断更新】2018杭州云栖大会！视频美图赏析
9月19日-22日杭州云栖小镇 ,2018杭州云栖大会,170余场前沿技术.产品及行业峰会,1500多位演讲嘉宾,我们就在现场. 直播 [快速入口] 日程[ 快速入口] 嘉宾[ 快速入口] 图集已上线 ...
2018杭州云栖大会，梁胜博士的演讲PPT来啦！
2019独角兽企业重金招聘Python工程师标准>>> 2018杭州云栖大会已经结束,Rancher作为阿里云的紧密合作伙伴,Rancher Labs联合创始人兼CEO梁胜博士,在9 ...
2018杭州云栖大会，有哪些科技惊喜？
一年之期就在眼前,2018云栖大会时间即将开启. 曾经,未来已来,只是分布得不均匀:而今,"数字蝶变"席卷全球各个领域.机器智能.物联网.行业大脑.区块链,你能想象的未来有多远? ...
10月12日云栖精选夜读：【直击2017杭州·云栖大会】TECH INSIGHT企业迁云实战专场...
10月10日,Tech Insight·杭州峰会,在2017杭州云栖大会举办前夕拉开帷幕.作为"一扇云计算与技术人员的任意门",本次Tech Insight更是针对"迁云 ...
Quick BI v3.0版本全新起航——2018杭州云栖大会
在9月22日杭州云栖大会云上数据中台专场中,阿里巴巴产品专家陌停跟现场的观众们分享了Quick BI v3.0版本的新体验.新分析和新功能. 作为一个高效数据分析与展现的BI套件,Quick BI通过 ...
10月24日云栖精选夜读：2017杭州·云栖大会完美收官虚拟化平台精彩回顾
阿里云飞天八部虚拟化平台普及了虚拟化技术从1998年到现在的发展史.异构计算助力新一代人工智能加速发展,虚拟化技术专场"黑科技"解读. 会上,神龙云服务器深度解析带来新一代技术革 ...
2018杭州·云栖大会人脸识别闸机“刷脸”服务12万人次【回顾篇】
2018杭州·云栖大会中,最让人印象深刻的莫过于几乎无处不在的人脸识别技术. 进入大会首先看到的就是一排整齐有科技感的人脸识别闸机,采用这一新技术在线完成实名认证的嘉宾,通过云栖大会人脸闸机时,只需对 ...
2016杭州云栖大会10月开幕规模翻倍
本文讲的是2016杭州云栖大会10月开幕规模翻倍[IT168 云计算]去年盛况空前的杭州·云栖大会将于今年10月13日回归,这次大会规模将比去年翻倍,从原本2天的议程增加至4天,从10月13日持续到 ...

2018年9月杭州云栖大会Workshop - 基于日志的安全分析实战

基于日志的安全分析实战

背景

目标

议程

准备工作

步骤

场景一：主机被暴力破解与异常登录识别

场景二：数据库被SQL攻击与拖库识别

场景三：Web服务被CC攻击的行为分析

2018年9月杭州云栖大会Workshop - 基于日志的安全分析实战相关推荐

最新文章

热门文章