点击此处查看最新的网赚项目教程
Linux登录行为审计最佳实践
背景描述
01
当前企业在虚拟化、云计算、大数据技术驱动下,越来越多的服务器被提供使用,IT人员对于服务器的管理受限于专业化平台和个人精力,很多服务器的安全审计形同虚设。所以经常会听到某某的服务器被黑,成为肉鸡的新闻,尝试登录系统是黑客们侵入的第一步,对于信息安全部门来讲,操作系统的用户登录行为审计非常必要,AnyRobot作为一款基于大数据技术的数据分析产品,对Linux系统提供完善的审计解决方案。
场景概述
02
从安全角度分析,登录行为审计不仅仅是用户登录的动作需要审计,还要对于已经登录进入系统的用户的行为动作进行审计,它执行了什么命令,是否属于敏感的动作,这些统计出来,让管理者能直观的看到平台的登录状态。另外可以对一些明确的非受信任的IP、用户等做行为预警,如果登录系统的地址不是非受信任的列表内的,立即给管理员发告警信息。
这两类数据源用来做安全分析的同时,也被保存在AnyRobot平台上,还可以做溯源取证。
日志采集
Linux操作系统的用户登录日志默认被记录在/var/log/secure*文件中,Linux的用户(root账户)操作命令日志记录在/root/.bash_history中。
AnyRobot通过Filebeat代理客户端或Rsyslog协议将两类日志文件数据采集到AnyRobot中。
日志解析
04
访问日志样例:
Mar3017:57:05anyrobotsshd[6906]:Acceptedpasswordforrootfrom192.168.35.110port51145ssh2
解析出日志文件的关键字段,例如时间、主机名、进程名、登录用户、登录源IP、登录状态等。
操作命名日志样例:
#1522130204 telnet192.168.84.24120019
解析后效果如下:
日志分析
05
告知用户有哪几个账户登录或尝试登录过这个系统。用户可以看出是否有未关注到的账户登录。
对于重要系统一般都只允许部分受信任的地址访问,可以通过登录的IP数量来判定系统是否被非受信任的IP访问过。
将登录成功和登录失败的行为直观展示出来,可以判端是否有攻击行为、是否有非受信任的时间段访问等。
结合受信任的IP列表,如果是攻击,可以判断源ip是什么;如果不是攻击,有哪些非受信任的地址登录,用于溯源取证。
将所有登录过该系统的账户执行的命令都统计出来,可以作为溯源取证。
将一些容易引起安全风险的操作统计出来,例如强制杀进程、修改密码、异常关机、创建账户等动作。让管理员重视系统的安全。
将系统的进程展示出来,如果有一些敏感的进程,例如su、sudo等切换账户的行为,可以联想到是否有影子账户被创建使用。
列出详细的登录行为日志,通过全局或者点选某类的事件可以查看登录的详细日志信息。
仪表盘展示
06
结合以上日志的分析,可以自定义一个仪表盘,对Linux的用户登录行为进行审计,如下是一个仪表盘模板,可供参考使用。
异常行为预警
07
对于系统的非受信任IP登录,用户可以做安全预警,例如:某平台只允许某一个跳板机可以登录,其他IP登录均视为非法,告警配置方法如下:
1、搜索页面写入筛选条件:_exists_:登录成功信息AND NOT登录源IP地址:”10.10.1.29”
2、在告警页面配置告警条件:如果这样的事件在一分钟内发生次数大于0,就给管理员邮箱it@domain.com发告警信息。
3、测试有非10.10.1.29的IP登录成功,告警邮件截图:
场景优势
08
AnyRobot是一款基于大数据技术的数据分析产品,从数据分析的角度对Linux系统的用户登录行为进行审计,可以从用户登录和登录后的操作命令两个维度进行统计分析,同时可以根据统计的结果进行安全告警。对比原始监控软件,不仅可以提示安全风险,还保留所有的行为日志以供追踪查询。在引入机器学习算法后,可以结合以往历史数据进行异常行为建模,AnyRobot可以采集多个平台的日志,与Linux系统进行日志关联分析,例如根据访问源IP地址,可以分析出该IP地址在整个网络数据中心内的行为动作,更全面的掌握整个网络环境的安全动态。让用户的IT管理实现安全风险主动发现、异常行为快速定位、责任追踪有依有据。
PS:扫描二维码,获取 Linux 登录行为审计视频
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: cai842612
admin
