日记 易的一大特点就是可以或许 收罗 全部 的呆板 数据,并可以主动 从日记 中提取关键字段 ,将非布局 化日记 转化为布局 化数据,通过关联字段,利用 SPL (Search Processing Language)语言实现复杂关联运算 ,串联多环节日记 数据,对差别 体系 业务的日记 举行 关联性分析,以到达 正确 告警的目标 。
本日 就让我们来聊一聊日记 关联分析功能 ,分享一下日记 易在收罗 了安全类装备 运行所产生的日记 后,通过安全变乱 的关联分析,办理 企业的两大核心 困难 ,亦即发现攻击变乱 和防御正在举行 的攻击 。
在企业摆设 了日记 易产物 后 ,由日记 易同一 收罗 和管理日记 数据。通太过 析各个安全装备 上日记 的记录 ,如时间 、源地点 、源端口、目标 地点 、目标 端口、变乱 范例 、URL 地点 ,Web shell 变乱 等 ,从 WAF/IDS 获取变乱 源IP,再利用 该 IP 在应用日记 上查询是否在上传页面 POST 过数据,并查抄 同一时间是否有主机 Webshell 告警变乱 发生。假如 有告警变乱 发生 ,则确以为 入侵变乱 ,立即 告警安全职员 举行 处理 惩罚 ,克制 产生严峻 结果 。
发现攻击变乱 的团体 逻辑如下:
以上的理论形貌 大概 有的小搭档 们会不太明白 ,下边通过两个场景实例来相识 一下上述功能吧。某金融企业摆设 日记 易产物 后,其安全分析的场景如下:
A
应用体系 遭受 CC 攻击
该金融企业将 WAF 和 DDoS 防御体系 日记 纳入日记 易平台,某一时间点 ,日记 易体系 “疑似 CC 攻击告警”触发,引起值班职员 关注。值班职员 接洽 运维工程师,同时反馈应用体系 业务职员 。业务职员 排查发现体系 访问变慢,运维职员 检测体系 ,发现毗连 数变多,体系 资源斲丧 趋势渐渐 上升,终极 确认应用体系 正在遭受到 CC 攻击 ,及时 实行 应急预案将题目 处理 惩罚 。
B
黑客利用 SQL注入 弊端 举行 拖库
该金融企业的业务网站存在 SQL 注入弊端 ,黑客发现并利用 了应用服务器 SQL注入 弊端 举行 拖库,触发了 IDS/WAF 日记 变乱 。同时 ,数据库审计体系 将检测到的应用 WAF SQL 注入查询语句实行 变乱 记录 到日记 。日记 易体系 通过关联分析 WAF/IDS 告警日记 和数据库审计体系 日记 告警,确认乐成 SQL 注入攻击举动 触发告警,辅助运维职员 办理 攻击变乱 。
通过上面两个小案例 ,小搭档 们是不是对日记 易的安全分析场景有了更加深入的相识 呢?在日后,小编会发布更多日记 易产物 的应用场景,请各人 多多关注吧!假如 你有想看的场景 ,也欢迎 给我留言!