seci-log1.02發(fā)布，日志分析軟件增加了多種告警-創(chuàng)新互聯(lián)

我們在日志分析軟件七種告警(非上班時間訪問，非上班地點訪問，密碼猜測，賬號猜測，賬號猜測成功、敏感文件操作告警和高危命令操作)的基礎(chǔ)上有增加了主機掃描，端口掃描，非法外聯(lián)告警的內(nèi)容。

創(chuàng)新互聯(lián)公司是一家專注于成都網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計與策劃設(shè)計,新野網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)10年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:新野等地區(qū)。新野做網(wǎng)站價格咨詢:18982081108

主機掃描

主機掃描是指在一臺機器上對內(nèi)網(wǎng)或者外網(wǎng)一個網(wǎng)段進行掃描，目的是要發(fā)現(xiàn)網(wǎng)絡(luò)中存活的主機，為下一步的操作打下基礎(chǔ)。這條告警和下面的端口掃描和非法外聯(lián)都屬于網(wǎng)絡(luò)層面的告警，前提也是需要配置日志策略。在linux系統(tǒng)中大部分都內(nèi)置了iptabe防火墻，可以利用iptable防火墻的日志功能進行采集日志，然后進行分析這些告警。下面介紹一下日志配置：

1、在linux下執(zhí)行一下命令，可以是iptables的日志從syslog發(fā)送：

iptables-AOUTPUT-ptcp-jLOG--log-prefix"seci-iptables"--log-level4

iptables-AOUTPUT-pudp-jLOG--log-prefix"seci-iptables"--log-level4

2、配置syslog發(fā)送策略：

kern.warning@IP地址

需要注意的是*.info;mail.none;authpriv.none;cron.none;kern.none中要加上kern.none,不然就會重復(fù)發(fā)送，當(dāng)然可以不要第一條，直接在info中發(fā)送也是可以的。

3、從起syslog服務(wù):

servicersyslogrestart

4、安裝nmap，下面以centos為例：

yuminstallnmap

經(jīng)過以上配置就可以配置好防護墻日志發(fā)送策略。

驗證過程，首先要進行配置，合法端口。詳見下圖：

執(zhí)行nmap命令：nmap-sP192.168.21.1-20，掃描20臺主機。

查看告警：

然后查看告警詳情：

可以發(fā)現(xiàn)，nmap在主機發(fā)現(xiàn)的掃描中，主要探測了443和80端口，這個時候告警會產(chǎn)生兩條主機掃描的告警。

端口掃描

端口掃描是指在一臺機器上對內(nèi)網(wǎng)或者外網(wǎng)的另一臺機器進行端口掃描，目的是要發(fā)現(xiàn)網(wǎng)絡(luò)中主機開放的端口信息，為下一步的操作打下基礎(chǔ)。這條告警也屬于網(wǎng)絡(luò)層面的告警，前提也是需要配置日志策略。詳細(xì)的配置信息詳見主機掃描。

驗證過程：執(zhí)行nmap命令：nmap-p20-80192.168.21.1地址，掃描61個端口。

查看告警：

查看詳情：

  可以看出掃描了此機器的端口多個不同端口的信息。

非法外聯(lián)

非法外聯(lián)是指在一臺機器上不該有的其他連接信息，比如服務(wù)器，正常情況下可能只開放了80，22端口，而且一般服務(wù)器是被動接收的日志，當(dāng)發(fā)現(xiàn)日志中有主動發(fā)起的連接而且不是規(guī)定的端口，很有可能是中了***，這個時候要特別關(guān)注。這條告警也屬于網(wǎng)絡(luò)層面的告警，前提也是需要配置日志策略。詳細(xì)的配置信息詳見主機掃描。

驗證過程，首先要進行配置，合法端口。詳見下圖：

表示本機22和514端口是合法的端口其他端口都是非法端口，執(zhí)行上面主機掃描或者端口掃描的nmap命令，即可產(chǎn)生非法外聯(lián)告警。

查看詳情：

從中可以看出有非法外聯(lián)行為，里面的日志有的是和主機掃描或者端口掃描重復(fù)。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站題目：seci-log1.02發(fā)布，日志分析軟件增加了多種告警-創(chuàng)新互聯(lián)
標(biāo)題網(wǎng)址：http://www.muchs.cn/article44/dhjcee.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號、網(wǎng)站收錄、關(guān)鍵詞優(yōu)化、定制開發(fā)、網(wǎng)站設(shè)計、域名注冊

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)