《日志管理与分析权威指南》一1.7 安全信息和事件管理(SIEM)

简介:

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第1章 ,第1.7节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

1.7 安全信息和事件管理(SIEM)

日志管理的书籍如果不讨论SIEM,那就是不完整的。SIEM已经形成了一个行业,SIEM工具提供了一种实时分析安全事件的方法。它也提供了报告、可视化和长期存储等机制。我们在这本书里面不会花太多时间在SIEM上,但是第15章将会讨论一些开源的SIEM工具。
下面的两个案例研究会解释日志数据怎样帮助解决现实世界的问题。
image

image

image

image

后门(Backdoor)是允许用户在不为人知的情况下获得计算机系统访问权的软件或应用程序。它经常被用于恶意目的(Skoudis & Zeltser,2004)。
上面的消息中,有趣的是虽然两个恶意软件得到处理,但最后一个只是被检测到,并没有被清除。这个恶意软件(一个IRC后门程序)使攻击者控制系统,并用它来扫描其他主机的漏洞。
图1.6显示了一个导入到Excel的防病毒日志子集,说明了对Backdoor.IRC.Bot采取的行动。Excel在这里可以更清晰地展示AV(防病毒)日志消息。


image


上述例子说明,这个后门至少从五月份就开始存在于系统里。这也证实了后门没有被防病毒软件所隔离。
在图1.7中高亮显示的消息表明,后门大概出现在5月份,系统被Welchia和W32.Randex.gen蠕虫感染,这两个蠕虫都有可能安装该后门。实际上,根据W32.Randex.gen的参考资料(http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.gen.html#technicaldetails),这种蠕虫以“打开后门端口和打开到预定的IRC服务器的连接,等待攻击者的命令”而著称。
上面的日志条目也表明,该系统是恶意软件的“鼠窝”,只能成功地清除一些恶意软件(但是通常是在成功地感染和修改系统之后)。
所以,在这种情况下,如果没有防病毒日志,我们很难或者不可能确定感染是什么时候发生,或者防病毒软件在何时更新失败。

image

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
2月前
|
监控 Android开发 C语言
深度解读Android崩溃日志案例分析2:tombstone日志
深度解读Android崩溃日志案例分析2:tombstone日志
30 0
|
2月前
|
Go 数据处理 Docker
elk stack部署自动化日志收集分析平台
elk stack部署自动化日志收集分析平台
49 0
|
2月前
|
缓存 固态存储 关系型数据库
MySQL性能优化指南:深入分析重做日志刷新到磁盘的机制
MySQL性能优化指南:深入分析重做日志刷新到磁盘的机制
|
3月前
|
SQL Java 数据库连接
日志输出-查看 SQL:深入分析 MyBatis 执行过程
日志输出-查看 SQL:深入分析 MyBatis 执行过程
36 0
|
4月前
|
存储 JSON 监控
日志记录和分析:ELK堆栈在内部局域网监控软件中的应用
在现代信息技术领域,监控和分析内部局域网的性能和运行状况对于确保系统的可靠性和高效性至关重要。为了实现这一目标,开发了一种基于ELK堆栈的解决方案,它利用强大的日志记录和分析工具,帮助监控人员实时追踪和解决问题。本文将介绍ELK堆栈的应用,以及如何自动提交监控到的数据到指定网站。
175 1
|
5月前
|
Linux Perl
Linux 系统快速分析日志定位故障原因的 10 个方法
在 Linux 系统中,日志是一种非常重要的资源。系统管理员可以通过日志记录的内容来检测系统的运行状况,分析问题,做出相应的调整和优化。由于日志文件数量庞大,内容复杂,因此需要使用一些工具和技术帮助管理员进行快速分析和查找。 本文将介绍 Linux 系统中快速分析日志、定位故障的 10 个方法。
646 1
|
3月前
|
Java
如何实现一个高效的二叉搜索树(BST)?请给出时间复杂度分析。 要求:设计一个二叉搜索树,支持插入、删除和查找操作。要求在平均情况下,这些操作的时间复杂度为O(log n)。同时,考虑树的平衡性,使得树的高度保持在对数级别。
如何实现一个高效的二叉搜索树(BST)?请给出时间复杂度分析。 要求:设计一个二叉搜索树,支持插入、删除和查找操作。要求在平均情况下,这些操作的时间复杂度为O(log n)。同时,考虑树的平衡性,使得树的高度保持在对数级别。
25 0
|
3月前
|
SQL 存储 安全
带你读《Apache Doris 案例集》——07查询平均提速700% ,奇安信基于 Apache Doris 升级日志安全分析系统(2)
带你读《Apache Doris 案例集》——07查询平均提速700% ,奇安信基于 Apache Doris 升级日志安全分析系统(2)
|
6天前
|
应用服务中间件 nginx
百度搜索:蓝易云【nginx记录分析网站响应慢的请求(ngx_http_log_request_speed)】
需要注意的是,使用自定义的Nginx模块需要对Nginx的编译和配置有一定的了解。如果对Nginx和模块的配置不太熟悉,建议先仔细阅读相关文档和教程,确保操作正确。此外,模块的稳定性和兼容性也需要进行一定的测试和验证。 买CN2云服务器,免备案服务器,高防服务器,就选蓝易云。百度搜索:蓝易云
15 0
|
5月前
|
运维 监控 安全
系统日志分析:发现潜在问题
系统日志分析:发现潜在问题
36 0