一、平台首页仪表盘
早上到公司,小Z打开自建的安全可视化平台首页仪表盘,观察着内网发生的一切,看是否有需要调查的事件或IP:界面最上方显示某几台服务器群实时外联的火箭图,可以知道实时哪个ip对外产生了连接;核心交换机有arp miss的攻击,看来内网有几台主机发生过扫描的动作,平台记录了发生的IP,时间,扫描次数等信息;蜜罐那个图,也发现了最新的攻击端口,ip等信息;资产数量一看,和上周相比,服务器数量增加了一台,看来运维建了一台服务器还没有报备;今天病毒的数量趋势较前一天增加了几台,发现3台终端有病毒的报警,而且是最新发现的主机,需要去处理一下,查明中毒的原因,还有4台挖矿的主机也需要去排查;vpn接入图上看,子公司有2台主机访问了超过正常阈值限制的服务器数量,是不是需要通知子公司的系统管理员去协助调查原因,哪些员工的工号存在尝试性登陆VPN出错等;同时,一些主机对服务器关键端口3389,22等访问基本处于正常的阈值范围;漏洞分布这块,高危漏洞是否减少了,这个得让运维的小伙伴抓紧修复,等等……把所有问题梳理一遍后,小Z一天的工作开始了。
二、平台的搭建材料说明书
日志收集工具
目前日志收集的工具很多,小Z使用日志收集工具:splunk试用版
数据源
目前数据源主要来自于以下十大部分。
excel资产清单,杀软后台日志,漏扫日志,部分全流量日志,入侵防御ips,vpn接入日志,蜜罐,核心交换机日志,免费在线情报,内部系统登录日志等;
数据输入方式(不同的数据源采用不同日志平台导入方式),主要是以下4种:
1-配置udp或tcp的端口,例如syslog等
2-后台数据库读取 splunk db connect
https://splunkbase.splunk.com/app/2686/
3-xls等文本读取
4-API调用读取
数据存储
Splunk有个索引Indexer的概念,Indexer提供数据的存储,索引,类似Elasticsearch的作用
https://docs.splunk.com/Documentation/Splunk/7.2.3/Indexer/Aboutindexesandindexers
数据处理和展示
数据进来后主要会做一些关键字筛选,统计分析和可视化展示的处理。
规则和可视化参考
https://github.com/topics/threat-hunting
https://github.com/tianyulab/Threat_Hunting_with_ELK
https://www.threathunting.net/
https://www.splunk.com/en_us/products/premium-solutions/splunk-enterprise-security/features.html
三、模块说明
1.资产管理模块
信息安全管理的对象-信息化资产,企业网络里到底有多少服务器,网络设备,安全设备,存储等等,这些设备的IP,跑了哪些应用,属于什么VLAN, 启用了哪些网络安全策略,责任人是谁等信息等必须要一目了然,因为那些被遗忘的角落往往是黑客攻击的突破口 ,所以设计这个模块。主要由两部分数据输入,一是运维管理人员的资产台账,一般就是读取xls文档;二是每周的漏扫结果统计,它会和资产台账比较,统计每周的资产数量变化,找出差异以确保资产统计的实时有效性。资产模块还有服务器IP一键调查功能,后面会讲到。
2.杀毒软件日志
作为信息安全监控,杀毒软件是不能缺席的。这个模块重点关注过去一周中毒主机的数量趋势,过去24小时的病毒种类分布,最近2天新发现的中毒主机IP信息,以及最近5天的病毒种类和中毒主机的分布等。从实际经验看,杀软的日志的及时性非常重要,当然不是说其他的日志及时性不重要,这是小Z从勒索病毒的事件中得到的教训,当时平台报警是在在当天下班时间,杀软是报了查杀勒索病毒tiger444.EXE日志的,但是没有做邮件短信类报警,在第一时间得到信息,分析黑客的攻击意图,所以错过了最早的阻断的时机,导致第二天到公司的被动局面。杀软的日志要做到日清,所谓日清就是当天发现当天处理,查明单台服务器或中断中毒的根本原因,有必要可以扩大排查范围。