日志生成和分析是IT行业的重要组成部分。这是检查,检查和理解日志文件(如网络日志和系统日志文件)的过程,以获得有价值的见解。这些也有助于破解问题所在以及如何识别网络安全攻击。这些安全日志文件包含时间戳,这些时间戳提供有关在什么事件导致特定故障或发生错误时发生了什么事件的详细信息。重要的是要了解不同类型的安全日志源,因此现在让我们详细了解最常见的安全日志源。
1. Sysmon日志
系统监视器(或Sysmon)是Microsoft提供的免费软件工具/设备驱动程序,用于监视系统活动并将其记录到Windows事件日志中。它在一个地方创建了各种活动的日志,例如进程创建,网络连接,文件创建或修改,驱动程序加载,原始磁盘访问,远程线程,进程内存访问。它从Microsoft获得定期更新,并定期推出新功能。通过分析这些日志,可以轻松地识别任何恶意活动,并且可以帮助了解入侵者如何尝试在您的网络上进行操作。限制是它不会对对手隐藏,也不会生成它生成的事件日志。
2. Windows安全日志
它是一个日志,用于根据系统的审核策略维护与安全性相关的活动。它是查看尝试的和成功的未经授权的活动并解决问题的好工具。日志和策略由系统管理员控制,这意味着他可以删除特定的日志,单独的权限,甚至清除日志。这意味着一旦管理员的帐户遭到破坏,安全日志就无法信任。它还列出了登录/注销活动,提供了用于登录系统的帐户和IP地址,特权和策略更改,系统事件以及进程跟踪。
3. Windows系统日志
它是应用程序和系统事件的事件日志,还包括一些错误或警告消息。它几乎可以帮助您解决各种Windows问题。它记录Windows系统组件(如驱动程序和内置接口组件)之类的日志,以及与系统上安装的程序相关的日志。它还跟踪系统引导时间的日志。它使用事件标识符(ID)来唯一定义计算机可以遇到的可识别事件。它有时显示出不会造成任何危害的基本错误,但诈骗者可以使用这些基本错误来操纵用户认为这是危险的,然后要求其提供凭据以使他们认为自己将对其进行修复。
4. Netflow日志
它是思科开发的网络协议。它监视网络流量和流量,并从路由器和交换机收集IP流量信息。使用Netflow收集器和分析器,可以看到来自何处的流量和来自何处的流量,以及通过接口生成了多少流量。它监视网络带宽和流量模式。网络管理员可以使用Netflow日志来确定哪些用户,协议或应用程序消耗最多的带宽以及造成网络拥塞的原因。
5. PCAP日志
数据包捕获(PCAP)是用于收集网络流量的应用程序编程接口(API)。它用于捕获数据包,甚至将这些捕获数据保存到文件中,并读取包含已保存数据包的文件。应用程序包括网络统计信息收集,安全监控和网络调试。它在多个软件工具中受支持,可以将保存的打包文件送入这些工具,以获取经过分析的用户友好输出。它可以检查IP地址,策略,域名,IP类型,时间戳,源端口等。
6.防火墙日志
它记录了防火墙如何处理流量类型,并深入了解了源IP地址和目标IP地址,协议和端口号。它还通过识别可疑连接来指示网络中何时存在恶意活动。 Windows防火墙日志会告诉您连接的时间和日期,连接类型(TCP / UDP),计算机上使用的端口,已丢弃或已接受的数据包。它还允许根据防火墙之间的带宽使用情况来规划带宽需求。它向网络管理员提供实时信息,以发现任何可疑活动。
7.代理日志
它们包含访问您的网络的用户和应用程序的日志。除了来自用户的网站请求外,它还包括应用程序或服务请求。他们跟踪的信息包括日期和时间,HTTP协议版本,HTTP请求方法,内容类型,用户代理,经过身份验证的客户端用户名,客户端IP和源端口,代理操作,请求的资源等等。在事件响应期间,还可以基于代理服务器日志的内容引发警报。
8.浏览器历史记录日志
浏览器历史记录就像您访问不同网页和应用程序的时间和地点的地图。他们可能会泄漏大量数据,以确定用户访问的来源。可以使用多种技术(例如CSS颜色选择器(大多在较新的浏览器中进行修补)),缓存的数据计时,浏览器API,插件可被黑客入侵或网络通信在机器外部进行拦截来加以利用。浏览器日志告诉取证网站访问的网站,时间戳,否。访问它的次数,输入的数据还是下载的内容。
9. DNS日志
它提供了有关由DNS服务器发送和接收的DNS数据的非常详细的信息。 DNS攻击包括DNS劫持,DNS隧道,拒绝服务(DoS)攻击,命令和控制以及缓存中毒。因此,DNS日志有助于识别与这些攻击有关的信息,以便可以找到源。其中包括有关请求记录,客户端IP,请求标志,区域传输,查询日志,速率计时和DNS签名的详细数据。