我们在日志分析软件七种告警(非上班时间访问,非上班地点访问,密码猜测,账号猜测,账号猜测成功、敏感文件操作告警和高危命令操作)的基础上有增加了主机扫描,端口扫描,非法外联告警的内容。
主机扫描
主机扫描是指在一台机器上对内网或者外网一个网段进行扫描,目的是要发现网络中存活的主机,为下一步的操作打下基础。这条告警和下面的端口扫描和非法外联都属于网络层面的告警,前提也是需要配置日志策略。在linux系统中大部分都内置了iptabe防火墙,可以利用iptable防火墙的日志功能进行采集日志,然后进行分析这些告警。下面介绍一下日志配置:
1、在linux下执行一下命令,可以是iptables的日志从syslog发送:
iptables-AOUTPUT-ptcp-jLOG--log-prefix"seci-iptables"--log-level4
iptables-AOUTPUT-pudp-jLOG--log-prefix"seci-iptables"--log-level4
2、配置syslog发送策略:
[email protected]地址
需要注意的是*.info;mail.none;authpriv.none;cron.none;kern.none中要加上kern.none,不然就会重复发送,当然可以不要第一条,直接在info中发送也是可以的。
3、从起syslog服务:
servicersyslogrestart
4、安装nmap,下面以centos为例:
yuminstallnmap
经过以上配置就可以配置好防护墙日志发送策略。
验证过程,首先要进行配置,合法端口。详见下图:
执行nmap命令:nmap-sP192.168.21.1-20,扫描20台主机。
查看告警:
然后查看告警详情:
可以发现,nmap在主机发现的扫描中,主要探测了443和80端口,这个时候告警会产生两条主机扫描的告警。
端口扫描
端口扫描是指在一台机器上对内网或者外网的另一台机器进行端口扫描,目的是要发现网络中主机开放的端口信息,为下一步的操作打下基础。这条告警也属于网络层面的告警,前提也是需要配置日志策略。详细的配置信息详见主机扫描。
验证过程:执行nmap命令:nmap-p20-80192.168.21.1地址,扫描61个端口。
查看告警:
查看详情:
可以看出扫描了此机器的端口多个不同端口的信息。
非法外联
非法外联是指在一台机器上不该有的其他连接信息,比如服务器,正常情况下可能只开放了80,22端口,而且一般服务器是被动接收的日志,当发现日志中有主动发起的连接而且不是规定的端口,很有可能是中了木马,这个时候要特别关注。这条告警也属于网络层面的告警,前提也是需要配置日志策略。详细的配置信息详见主机扫描。
验证过程,首先要进行配置,合法端口。详见下图:
表示本机22和514端口是合法的端口其他端口都是非法端口,执行上面主机扫描或者端口扫描的nmap命令,即可产生非法外联告警。
查看详情:
从中可以看出有非法外联行为,里面的日志有的是和主机扫描或者端口扫描重复。