日志生成和分析是 IT 行业的重要组成部分。这是一个查看、检查和理解日志文件(如网络和系统日志文件)以获得宝贵见解的过程。这些也有助于破解问题所在以及如何识别网络安全攻击。这些安全日志文件包含时间戳,提供有关在什么事件导致特定故障或出现问题时发生了什么事件的详细信息。了解不同类型的安全日志源很重要,因此现在让我们详细了解最常见的安全日志源。
1. Sysmon 日志
System Monitor(或 Sysmon)是来自 Microsoft 的免费软件工具/设备驱动程序,它监视系统活动并将其记录到 Windows 事件日志中。它在一个地方创建各种活动的日志,如进程创建、网络连接、文件创建或修改、驱动程序加载、原始磁盘访问、远程线程、进程内存访问。它从 Microsoft 获得定期更新,并定期推出新功能。通过分析这些日志,可以轻松识别任何恶意活动,并有助于了解入侵者如何尝试在您的网络上进行操作。限制是它不会对对手隐藏,也不会生成它生成的事件日志。
2. Windows 安全日志
它是一个日志,根据系统的审计策略维护与安全相关的活动。它是查看尝试和成功的未授权活动以及解决问题的绝佳工具。日志和策略由系统管理员管理,这意味着他可以删除特定日志、分离权限,甚至清除日志。这意味着一旦管理员的帐户被盗用,安全日志就无法信任。它还列出登录/注销活动,提供登录系统的帐户和 IP 地址、权限和策略更改、系统事件和进程跟踪。
3. Windows 系统日志
它是应用程序和系统事件的事件日志,还包括一些错误或警告消息。它有助于解决不同 Windows 问题的几乎所有类型的故障排除。它记录诸如 Windows 系统组件、驱动程序和内置接口组件等日志,以及与系统上安装的程序相关的日志。它还跟踪系统启动时间的日志。它使用事件标识符 (ID) 来唯一定义计算机可以遇到的可识别事件。它有时会显示不会造成任何伤害的基本错误,但诈骗者可能会使用它来操纵用户认为它很危险,然后要求他们提供凭据,使他们认为他们会修复它。
4. Netflow 日志
它是由 Cisco 开发的网络协议。它监控网络流量和流量,并从路由器和交换机收集 IP 流量信息。使用 Netflow 收集器和分析器,可以看到流量来自何处和去向何处以及通过接口生成了多少流量。它监控网络带宽和流量模式。网络管理员可以使用 Netflow 日志来确定哪些用户、协议或应用程序消耗了最多的带宽以及网络拥塞的原因。
5. PCAP 日志
数据包捕获 (PCAP) 是用于收集网络流量的应用程序编程接口 (API)。它用于捕获数据包,甚至将这些捕获保存到文件中并读取包含保存数据包的文件。应用包括网络统计收集、安全监控和网络调试。它支持多种软件工具,可以将保存的打包文件输入其中,以获得用户友好的分析输出。它可以检查 IP 地址、策略、域名、IP 类型、时间戳、源端口等。
6. 防火墙日志
它记录了防火墙如何处理流量类型并提供对源和目标 IP 地址、协议和端口号的洞察。它还通过识别可疑连接来指示网络中何时存在恶意活动。 Windows 防火墙日志会说明连接的时间和日期、连接类型 (TCP/UDP)、计算机上使用的端口、丢弃的或接受的数据包。它还允许根据跨防火墙的带宽使用情况来规划带宽要求。它向网络管理员提供实时信息,以找出任何可疑活动。
7. 代理日志
它们包含访问您的网络的用户和应用程序的日志。除了来自用户的网站请求外,它还包括应用程序或服务请求。他们跟踪的信息包括日期和时间、HTTP 协议版本、HTTP 请求方法、内容类型、用户代理、经过身份验证的客户端用户名、客户端 IP 和源端口、代理操作、请求的资源等等。在事件响应期间,还可以根据代理服务器日志的内容发出警报。
8. 浏览器历史记录
浏览器历史记录就像您访问过不同网页和应用程序的内容和时间的地图。他们可能会泄露您的大量数据,以确定用户访问了哪些来源。可以使用各种技术来利用它,例如 CSS 颜色选择器(主要在较新的浏览器中打补丁)、使用缓存数据计时、浏览器 API、插件可以被黑客入侵或网络通信可以在机器外部被拦截。浏览器日志告诉取证访问的网站、时间戳、否。它被访问的次数,数据被输入,或者被下载。
9. DNS 日志
它提供有关 DNS 服务器发送和接收的 DNS 数据的极其详细的信息。 DNS 攻击包括 DNS 劫持、DNS 隧道、拒绝服务 (DoS) 攻击、命令和控制以及缓存中毒。因此,DNS 日志有助于识别与这些攻击相关的信息,以便找出源头。其中包括有关请求记录、客户端 IP、请求标志、区域传输、查询日志、速率计时和 DNS 签名的详细数据。