本节书摘来华章计算机《日志管理与分析权威指南》一书中的第1章 ,第1.7节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1.7 安全信息和事件管理(SIEM)
日志管理的书籍如果不讨论SIEM,那就是不完整的。SIEM已经形成了一个行业,SIEM工具提供了一种实时分析安全事件的方法。它也提供了报告、可视化和长期存储等机制。我们在这本书里面不会花太多时间在SIEM上,但是第15章将会讨论一些开源的SIEM工具。
下面的两个案例研究会解释日志数据怎样帮助解决现实世界的问题。
后门(Backdoor)是允许用户在不为人知的情况下获得计算机系统访问权的软件或应用程序。它经常被用于恶意目的(Skoudis & Zeltser,2004)。
上面的消息中,有趣的是虽然两个恶意软件得到处理,但最后一个只是被检测到,并没有被清除。这个恶意软件(一个IRC后门程序)使攻击者控制系统,并用它来扫描其他主机的漏洞。
图1.6显示了一个导入到Excel的防病毒日志子集,说明了对Backdoor.IRC.Bot采取的行动。Excel在这里可以更清晰地展示AV(防病毒)日志消息。
上述例子说明,这个后门至少从五月份就开始存在于系统里。这也证实了后门没有被防病毒软件所隔离。
在图1.7中高亮显示的消息表明,后门大概出现在5月份,系统被Welchia和W32.Randex.gen蠕虫感染,这两个蠕虫都有可能安装该后门。实际上,根据W32.Randex.gen的参考资料(http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.gen.html#technicaldetails),这种蠕虫以“打开后门端口和打开到预定的IRC服务器的连接,等待攻击者的命令”而著称。
上面的日志条目也表明,该系统是恶意软件的“鼠窝”,只能成功地清除一些恶意软件(但是通常是在成功地感染和修改系统之后)。
所以,在这种情况下,如果没有防病毒日志,我们很难或者不可能确定感染是什么时候发生,或者防病毒软件在何时更新失败。
