چگونه IDS ها و سیاهههای مربوط به فایروال جمع شده و ورود به سیستم به SIEM اضافه شده است؟

نحوه جمع آوری / ذخیره سیاههها بستگی به مورد استفاده است که شما SIEM خود و معماری استقرار را مستقر کرده اید.

یک SIEM معمولی موارد زیر را برای شما ارائه خواهد داد:

  1. Log Collection
  2. Log Retension [19659004] ورود به سیستم تجزیه و تحلیل
  3. رویداد همبستگی
  4. ورود به سیستم قانونی
  5. IT مطابق
  6. زمان واقعی هشدار
  7. نظارت بر فعالیت کاربر
  8. نظارت بر یکپارچگی فایل
  9. و غیره.

سناریوی استقرار نیز می تواند متنوع باشد و بستگی به مقیاس / دامنه استقرار و نحوه گردآوری داده ها نیز به این سناریو بستگی دارد. به عنوان مثال می توان بعضی از موارد زیر را ذکر کرد:

  • جمع آوری ورودی ها را در مکان های منبع و سرور مرکزی مجله برای ذخیره کردن سیاهههای مربوطه. سپس فقط سیاهههای مربوط به امنیت را به پایگاه داده SIEM ارسال کنید – فقط سیاهههای مربوطه در پایگاه داده SIEM ذخیره خواهند شد و استراحت در سرور log log central خواهد بود

  • جمع آوری، ذخیره و پردازش کل سیاهههای مربوط در پایگاه داده SIEM – که در آن کل سیاهههای مربوط در SIEM ذخیره می شود

یک سیاهه جمع آوری و پردازش برای هر تامین کننده SIEM منحصر به فرد است زیرا اکثر آنها اتصالات / قالب های خود (یا فرمت های پشتیبانی شده پشتیبانی) برای منابع / همه فروشندگان SIEM شما لیستی از دستگاه های پشتیبانی شده و هر وسیله ای را که در این لیست نیست به صورت دستی متصل می شوند، ارائه می دهند، جایی که تامین کننده SIEM ممکن است به شما در تهیه پیش نویس اتصال خود کمک کند.

شما ممکن است لینک های زیر را برای فروشنده SIEM پشتیبانی کنید لیست دستگاه ها (اتصال ها به راحتی در دسترس هستند):

https://www.scribd.com/document/60264371/LogRhythm-Supported-Products-List

اکثر تامین کنندگان SIEM راه خود را برای ذخیره سازی سیاهههای مربوط (داده ها فرمت به ساختار جدول ممکن است متفاوت باشد) بسیاری از آنها سیاهه های دریافت شده را پردازش می کنند و تبدیل به ساختار می شوند که پلتفرم اصلی آن می تواند درک کند.

اتصال دهنده ها / قالب های مذکور برای تبدیل فرمت منبع بومی به فرمت قابل درک SIEM مورد استفاده قرار می گیرند

امیدوارم این نگرانی شما را روشن کند …

نرم افزارهای مخرب – توسط "غیر ممکن کلیک" در سیاهههای مربوط به freaked

من یک محیط تولید جداگانه را راه اندازی کرده و به اسکریپت از راه دور پی اچ پی از مک محلی خود دسترسی پیدا کردم
http: // {mydomain.com} / XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0

در کلیک روی لوک من به صورت زیر مشاهده کردم:

 {
  "id": "XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0"،
  "برچسب زمان": 1535672410
  "ip_address": "MY.IP.AD.DR"،
  "user_agent": "موزیلا  / 5.0 (مکینتاش؛ اینتل مک OS X 10_13_6) AppleWebKit  /537.36 (KHTML، مانند Gecko) Chrome  /68.0.3440.106 Safari  /537.36"
  "ارجاع دهنده": null
  "پارامتر": "XXX"
}

و من نمیتوانستم چشمانم را باور کنم وقتی که در خط بعدی مجله زیر را دیدم:

 {
  "id": "XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0"،
  "برچسب زمان": 1535672411،
  "ip_address": "159.203.81.ADDR"،
  "user_agent": "Mozilla  / 5.0 (Windows NT 6.1؛ WOW64؛ rv: 33.0) Gecko  / 20100101 Firefox  / 33.0"؛
  "ارجاع دهنده": "83.222.249.ADDR"،
  "پارامتر": "XXX"
}

فقط یک ثانیه بعد (به عنوان "برچسب زمان" مراجعه کنید) یک کلیک از یک اپل دیجیتال IP "159.203.81.ADDR" با استفاده از یک عامل جعلی کاربر و ارجاع جعلی با همان پارامتر دقیق GET ("XXX") وجود دارد .
هیچ راهی روی زمین وجود ندارد که بتواند در مورد ID "XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0" که دستگاه محلی من به طور تصادفی چند دقیقه زودتر تولید شده است، شناخته شده باشد.

فرض کنید این به این معنی است که شبکه محلی من به گونه ای به خطر افتاده است؟ فعالیت شبکه من توسط تروجان خراب شده است و از آنجا که درخواست غیر HTTPS بدافزار بود قادر به تکرار آن به منظور جاسوسی برای اطلاعات حساس بود

من مک خود را برای تروجان با استفاده از ClamAV و Malwarebytes اسکن کردم، یک چیزی را پیدا کن.
چگونه می توانم به پایین این بروم؟ آیا می توانم روتر خانه من با نرم افزارهای مخرب آلوده شود؟

من مطمئن نیستم که آیا این مربوط است، اما اخیرا من چیزهای سیمی را در Mac و دستگاه های تلفن همراه خودم تجربه کردم. به عنوان مثال در گشت و گذار در وب سایت های تصادفی، گاهی اوقات به طور ناگهانی به وب سایت آگهی کلاهبرداری هدایت می شوید ("تبریک می گویید، لطفا اطلاعات خود را وارد کنید …"). من تصویری از یکی از آنهایی که در دستگاه تلفن همراه من بود را گرفتم: https://imgur.com/a/UngqSlJ

حملات – سیاهههای مربوط به Port Knock پیشنهاد می کند که دستگاه آسیب دیده است؟

در دستگاه CentOS من، تمام پورت های من با قانون Iptables فیلتر می شوند:

 DROP all - * 0.0.0.0/0 0.0.0.0/0

بنابراین از اینترنت، هر وقفه بندر.

تنها راه برای ssh به دستگاه، این است که دنباله Port Knock را به صورت زیر انجام دهید:

 6 xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 53853 recent: نام SET: طرف KNOCK1: منبع ماسک: 255.255.255.255 محدودیت: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 7 پیشوند "ssh port knocking 1"
7 xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 6663 recent: CHECK seconds: 15 name: KNOCK1 side: mask source: 255.255.255.255 recent: نام SET: KNOCK2 side: mask source : 255.255.255.255 حد: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 2"
8xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 96563 recent: CHECK seconds: 15 name: KNOCK2 side: mask source: 255.255.255.255 recent: نام SET: KNOCK3 side: mask source : 255.255.255.255 محدودیت: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 3"
9xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 77799 recent: CHECK seconds: 15 name: KNOCK3 side: mask source: 255.255.255.255 recent: نام SET: KNOCK4 side: mask source : 255.255.255.255 حد: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 4"
10 xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 12263 recent: CHECK seconds: 15 name: KNOCK4 side: mask source: 255.255.255.255 recent: SET name: OPEN_SESAME side: mask source : 255.255.255.255 حد: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 5"
11 x x ACCEPT tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: مثال SSH REAL PORT وضعیت جدید، مربوط، ایجاد شده اخیر: CHECK ثانیه: 15 نام: OPEN_SESAME سمت: منبع ماسک: 255.255.255.255
12 x x ACCEPT همه - * * 0.0.0.0/0 0.0.0.0/0 دولت مرتبط، ایجاد شده

اکنون در سیاههها بررسی میشوند، هر بار من توالی بندر را تغییر میدهم، در logqlog log پیدا میکنم که یک تلاش برای آن پورت نمونه خاص دست کشیدن 1، دست کشیدن 2 … و غیره ساخته شده است. [19659002] kernel: ssh port knocking 1 IN = eth0 OUT = MAC = example MAC SRC = IP مهاجم همیشه همان DST = IP من LEN = 60 TOS = 0x00 PREC = 0x00 TTL = 48 ID = xxxx DF PROTO = TCP SPT = منبع DPT = ** هر کدام از من انتخاب کنید ** پنجره = 29200 RES = 0x00 SYN

هیچ پله ای برای هر پورت دیگر و هیچ پروب دیگر وجود ندارد.

به نظر می رسد که هر زمان که من آن را تغییر دهم، مهاجم متوجه دنباله می شود.

از آنجا که هیچ گونه ورودی دیگر برای هر گونه تلاش دیگر وجود ندارد، و نظارت بر tcpdump نشان می دهد هیچ پروب انجام نمی شود، ایمن است فرض کنید مهاجم می داند دنباله ای به دلیل دستگاه آسیب دیده است و او می شود اطلاعات هر زمان من آن را تغییر دهید؟