隨著互聯(lián)網(wǎng)和云計(jì)算的發(fā)展，公有云服務(wù)器是人們?cè)絹?lái)越容易接受的產(chǎn)品，其最普遍受益的一點(diǎn)就是節(jié)省成本。企業(yè)不必像擁有私有云那樣去購(gòu)買(mǎi)，安裝，操作或運(yùn)維服務(wù)器或是其他設(shè)備。在一個(gè)公有云的服務(wù)供應(yīng)商提供的平臺(tái)上，企業(yè)只需使用或開(kāi)發(fā)他們自己的應(yīng)用程序即可。但公有云的安全問(wèn)題也是顯而易見(jiàn)的，基于 Internet的公有云服務(wù)的特性，全世界只要能上網(wǎng)的人就可以訪問(wèn)到其云服務(wù)器，其在云主機(jī)及其云上的數(shù)據(jù)受到威脅會(huì)更多而且更復(fù)雜，數(shù)據(jù)相對(duì)于私有云處于一個(gè)不穩(wěn)定的狀態(tài)。不管是傳統(tǒng)的信息化還是未來(lái)趨勢(shì)的云計(jì)算，都面臨著安全的風(fēng)險(xiǎn)，從安全防護(hù)的角度來(lái)說(shuō)，需要一個(gè)循序漸進(jìn)的方式去完善安全體系。一般建設(shè)的順序是網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全的順序逐步完善。

但對(duì)于很多中小企業(yè)來(lái)說(shuō)，本身的設(shè)備也不是太多，也就幾臺(tái)到幾十臺(tái)而已，如果花費(fèi)太多的精力去搞安全也不劃算，如果不搞又感覺(jué)不放心。那什么方面的內(nèi)容是中小企業(yè)關(guān)注的呢?個(gè)人認(rèn)為應(yīng)該優(yōu)先關(guān)注訪問(wèn)安全，就是有沒(méi)有人非法訪問(wèn)你的服務(wù)器，因?yàn)樵谠破脚_(tái)下，任何人只要接入網(wǎng)絡(luò)都可以訪問(wèn)到你的機(jī)器。所以我認(rèn)為應(yīng)該優(yōu)先關(guān)注此信息，報(bào)告非上班時(shí)間訪問(wèn)，非上班地點(diǎn)訪問(wèn)，密碼猜測(cè)，賬號(hào)猜測(cè)，賬號(hào)猜測(cè)成功等行為。從我了解的情況下，這部分目前還沒(méi)有比較有效的開(kāi)源或者免費(fèi)工具供大家使用，現(xiàn)在elk用的比較多，但大多數(shù)情況下都不太適合中小公司，門(mén)檻太高。因此本公司針對(duì)這種情況，專(zhuān)門(mén)開(kāi)發(fā)了賽克藍(lán)德日志分析軟件?？梢葬槍?duì)上面的幾種情況進(jìn)行分析，部署簡(jiǎn)單學(xué)習(xí)成本很低。

首先上一張門(mén)戶圖：

下面來(lái)分析下幾種告警：

非上班時(shí)間登錄

本次告警規(guī)則為非上班時(shí)間登錄系統(tǒng)，主要的目的是防止有人在非上班時(shí)間登錄系統(tǒng)，這種情況是比較危險(xiǎn)的。

驗(yàn)證過(guò)程：

首先配置非上班時(shí)間，這個(gè)系統(tǒng)已經(jīng)內(nèi)置，在安全配置的安全配置中。默認(rèn)0點(diǎn)到8點(diǎn)，晚上20點(diǎn)到24點(diǎn)為非上班時(shí)間。

然后再用ssh連接工具，比如SecureCRT登錄系統(tǒng)。這個(gè)時(shí)候就會(huì)有一條日志記錄。

從日志上可以看出，登錄時(shí)間為21:32:28秒，是屬于非上班時(shí)間。登錄后等個(gè)兩三分中到WEB關(guān)系系統(tǒng)中查看日志和告警。

可以看出系統(tǒng)記錄了日志，并產(chǎn)生了告警。

非上班地點(diǎn)登錄

本次告警規(guī)則為非上班地點(diǎn)登錄系統(tǒng)，主要的目的是防止有人在非上班地點(diǎn)登錄系統(tǒng)，這種情況是比較危險(xiǎn)的。

 驗(yàn)證過(guò)程：

首先配置上班地點(diǎn)。這些數(shù)據(jù)要根據(jù)工作環(huán)境設(shè)置。從中可以看出這里里面沒(méi)有192.168.21.1。需要注意的是配置完成后需要重新啟動(dòng)采集器來(lái)加載配置參數(shù)。

驗(yàn)證的過(guò)程和非上班時(shí)間一致。這個(gè)時(shí)候會(huì)產(chǎn)生一條非上班地點(diǎn)告警。需要注意的是對(duì)同一條事件如果滿足多個(gè)告警規(guī)則，會(huì)生成多條告警，但日志只有一條。

從告警日志的詳情來(lái)看和剛才的非上班時(shí)間登錄是同一條日志。

當(dāng)把192.168.21.1添加到上班地點(diǎn)中的時(shí)候，在做一次登錄操作。這時(shí)候發(fā)現(xiàn)并沒(méi)有產(chǎn)生告警，則表示此規(guī)則生效。

#p#

密碼猜測(cè)攻擊

密碼猜測(cè)攻擊是一種非常常見(jiàn)的攻擊手段，其特征是一段時(shí)間內(nèi)容有連續(xù)的錯(cuò)誤登錄日志，則可以確定為密碼猜測(cè)攻擊。

驗(yàn)證過(guò)程：

在一段時(shí)間內(nèi)連續(xù)輸錯(cuò)密碼即可。從日志上看，在短時(shí)間內(nèi)輸錯(cuò)了3次密碼。

 產(chǎn)生的告警如下：

 對(duì)應(yīng)的事件：

這里面有個(gè)疑問(wèn)就是多條日志在這里面只有一條日志，但對(duì)應(yīng)的告警數(shù)量是3，這是因?yàn)樵谙到y(tǒng)中對(duì)原始事件做了歸并處理，當(dāng)系統(tǒng)發(fā)現(xiàn)原始事件是一類(lèi)的時(shí)候，就把這些事件合并成一條事件，對(duì)應(yīng)的事件數(shù)量為實(shí)際發(fā)生的數(shù)量。

賬號(hào)猜測(cè)攻擊

賬號(hào)猜測(cè)攻擊是一種非常常見(jiàn)的攻擊手段，一般被攻擊者首先要確定主機(jī)的賬號(hào)后才能對(duì)其發(fā)起進(jìn)一步的攻擊。所以一般攻擊者首先會(huì)猜測(cè)root的賬號(hào)，所以修改 root賬號(hào)名稱(chēng)或者禁止root賬號(hào)遠(yuǎn)程登陸是非常有效的安全手段。其特征是一段時(shí)間內(nèi)容有連續(xù)的賬號(hào)不存在登錄日志，則可以確定為賬號(hào)猜測(cè)攻擊。告警規(guī)則如下：

驗(yàn)證過(guò)程，用系統(tǒng)中不存在的賬號(hào)登錄系統(tǒng)。

產(chǎn)生的告警如下： 

所對(duì)應(yīng)的日志詳情如下：

密碼猜測(cè)攻擊成功

密碼猜測(cè)攻擊成功是一種非常嚴(yán)重的攻擊，表示攻擊者已經(jīng)攻擊成功，進(jìn)入了系統(tǒng)，這種情況是非常危險(xiǎn)的，尤其要重點(diǎn)關(guān)注此告警。這種告警的主要特點(diǎn)是，剛開(kāi)始的時(shí)候，用戶有密碼猜測(cè)的行為，緊接著用戶會(huì)有一條登錄成功的行為，這兩種行為結(jié)合起來(lái)后就可以得出密碼猜測(cè)攻擊成功。

驗(yàn)證過(guò)程，首先用錯(cuò)誤的密碼連續(xù)登錄系統(tǒng)幾次，之后再用正確的密碼登錄。

產(chǎn)生的告警，可以看到產(chǎn)生了兩條告警，一條是密碼猜測(cè)攻擊，一條是密碼猜測(cè)攻擊成功。

我們?cè)诳匆幌孪到y(tǒng)里面記錄的日志，明顯能看到，先有5此失敗登錄，緊接著有一條成功的日志。

從上面可以看出，基本上可以滿足中小公司對(duì)登錄日志分析的要求。

下載地址：

linux版本：http://pan.baidu.com/s/1i3sz19V

window版本：http://pan.baidu.com/s/1mg00RQo

歡迎試用，并提寶貴建議。