《日志管理与分析权威指南》一1.7 安全信息和事件管理(SIEM)-阿里云开发者社区

开发者社区> 华章计算机> 正文

《日志管理与分析权威指南》一1.7 安全信息和事件管理(SIEM)

简介:
+关注继续查看

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第1章 ,第1.7节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

1.7 安全信息和事件管理(SIEM)

日志管理的书籍如果不讨论SIEM,那就是不完整的。SIEM已经形成了一个行业,SIEM工具提供了一种实时分析安全事件的方法。它也提供了报告、可视化和长期存储等机制。我们在这本书里面不会花太多时间在SIEM上,但是第15章将会讨论一些开源的SIEM工具。
下面的两个案例研究会解释日志数据怎样帮助解决现实世界的问题。
image

image

image

image

后门(Backdoor)是允许用户在不为人知的情况下获得计算机系统访问权的软件或应用程序。它经常被用于恶意目的(Skoudis & Zeltser,2004)。
上面的消息中,有趣的是虽然两个恶意软件得到处理,但最后一个只是被检测到,并没有被清除。这个恶意软件(一个IRC后门程序)使攻击者控制系统,并用它来扫描其他主机的漏洞。
图1.6显示了一个导入到Excel的防病毒日志子集,说明了对Backdoor.IRC.Bot采取的行动。Excel在这里可以更清晰地展示AV(防病毒)日志消息。


image


上述例子说明,这个后门至少从五月份就开始存在于系统里。这也证实了后门没有被防病毒软件所隔离。
在图1.7中高亮显示的消息表明,后门大概出现在5月份,系统被Welchia和W32.Randex.gen蠕虫感染,这两个蠕虫都有可能安装该后门。实际上,根据W32.Randex.gen的参考资料(http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.gen.html#technicaldetails),这种蠕虫以“打开后门端口和打开到预定的IRC服务器的连接,等待攻击者的命令”而著称。
上面的日志条目也表明,该系统是恶意软件的“鼠窝”,只能成功地清除一些恶意软件(但是通常是在成功地感染和修改系统之后)。
所以,在这种情况下,如果没有防病毒日志,我们很难或者不可能确定感染是什么时候发生,或者防病毒软件在何时更新失败。

image

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
《大数据原理:复杂信息的准备、共享和分析》一一2.1 背景
本节书摘来自华章出版社《大数据原理:复杂信息的准备、共享和分析》一 书中的第2章,第2.1节,作者:[美] 朱尔斯 J. 伯曼(Jules J. Berman)著 ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1141 0
《大数据原理:复杂信息的准备、共享和分析》一一2.3 注册唯一对象标识符
本节书摘来自华章出版社《大数据原理:复杂信息的准备、共享和分析》一 书中的第2章,第2.3节,作者:[美] 朱尔斯 J. 伯曼(Jules J. Berman)著 ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1493 0
从MongoDB安全事件说起,找到了原因和解决方案,危机之后又该怎样反思呢?
近期,大批量的MongoDB实例因为配置漏洞遭遇了攻击,黑客无需身份认证即可登录MongoDB实例,从而删除了大量数据,并勒索受害者支付赎金才能要回自己的数据。截止目前为止,被劫持的MongoDB实例已经达到了一个惊人的数量。面对赤裸裸的挑战,我们如何应对?我们如何保证数据的安全?
5107 0
PostgreSQL · 特性分析 · 统计信息计算方法
一条SQL在PG中的执行过程是: ----> SQL输入 ----> 解析SQL,获取解析后的语法树 ----> 分析、重写语法树,获取查询树 ----> 根据重写、分析后的查询树计算各路径代价,从而选择一条成本最优的执行树 ----> 根据执行树进行执行 ----> 获取结果并返回
1577 0
《大数据原理:复杂信息的准备、共享和分析》一一2.2 标识符系统的特征
本节书摘来自华章出版社《大数据原理:复杂信息的准备、共享和分析》一 书中的第2章,第2.2节,作者:[美] 朱尔斯 J. 伯曼(Jules J. Berman)著 ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。
857 0
软考新思维--2017年上半年信息系统项目管理师上午试题分析与答案(试题46-50题)
软考新思维--2017年上半年信息系统项目管理师上午试题分析与答案(试题46-50题) 46.()不属于风险管理计划编制的成果A、风险类别B、风险概率C、风险影响力的定义D、风险记录参考答案: 46. (D) 47.赫兹伯格的双因素激励理论中的激励因素类似于马斯洛的需求层次理论中的“()”。
895 0
10059
文章
0
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《Nacos架构&原理》
立即下载
《看见新力量:二》电子书
立即下载
云上自动化运维(CloudOps)白皮书
立即下载