精华内容
下载资源
问答
  • 绿盟日志审计系统 产品白皮书
  • 绿盟日志审计系统用户手册-V2.0R00F03(日志审计).pdf
  • 官方的绿盟日志审计系统用户手册
  • 绿盟日志审计系统

    千次阅读 2020-07-10 15:25:30
    绿盟日志审计系统 LINUX系统连接agent步骤 - -华龙在飞翔 1.对应虚拟化环境中连接的Linux服务器打开输入用户名和密码 2.ifconfig来查找Linux服务器对应的网段ip地址 3.使用finalshell等工具用ip地址连接对应的Linux...

    绿盟日志审计系统
    LINUX系统连接agent步骤
    - -华龙在飞翔

    1.对应虚拟化环境中连接的Linux服务器打开输入用户名和密码

    2.ifconfig来查找Linux服务器对应的网段ip地址
    在这里插入图片描述
    3.使用finalshell等工具用ip地址连接对应的Linux服务器

    在这里插入图片描述

    4.cd /opt对于文件夹上传,也可以直接对应桌面文件复制粘贴
    在这里插入图片描述

    5.ll命令来查看opt文件夹中是否有agent文件

    在这里插入图片描述
    在这里插入图片描述
    6.使用chmod 755 NSF………………来给安装包进行授权
    在这里插入图片描述
    7.对agent安装包进行安装;
    在这里插入图片描述

    8注意调时间和日志审计的时间保持一致,否则不能索引
    date 查看当前的日期时间
    hwclock --set --date ‘2020-7-07-05 21:48:42’ 更改时间
    hwclock --hctosys 硬件时间和系统时间同步
    clock -w 当前系统时间写入到CMOS中
    date 查看当前的日期时间
    hwclock --show 显示时间

    在这里插入图片描述
    在这里插入图片描述
    8.进行数据收集
    在这里插入图片描述
    9.Linux下进行日志接入
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    在这里插入图片描述

    卸载客户端
    卸载客户端需要卸载码:ed0c0607-45e7-429f-bb3e-fa8f142efe35
    卸载后需要删除以下一个文件方可彻底删除;
    rm -f /tmp/agentConf

    展开全文
  • 绿盟日志审计系统用户手册-V2.0R00F02.pdf
  • 绿盟官方安全审计系统资料,等等级系统保护所需要的平台
  • NSF-SAS5.6.8 绿盟安全审计系统配置手册.docx
  • 日志审计系统用户手册.doc
  • 0x00 FOFA语句 body="WebApi/encrypt/js-sha1/build/sha1.min.js" 0x01 未授权访问漏洞利用 ... ...转载请注明:Adminxe's Blog»【漏洞复现】绿盟BAS日志数据安全性分析系统未授权访问 ...

    0x00 FOFA语句

    body="WebApi/encrypt/js-sha1/build/sha1.min.js"

    0x01 未授权访问漏洞利用

    https://xxx.com/accountmanage/index

    转载请注明:Adminxe's Blog » 【漏洞复现】绿盟BAS日志数据安全性分析系统未授权访问

    展开全文
  • 日志审计LAS.rar

    2020-03-08 19:55:36
    技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档技术文档...
  • 一、网络安全审计概述1-1 网络安全审计概念概念:对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。作用:建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供...

    一、网络安全审计概述

    1-1 网络安全审计概念

    • 概念:对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。
    • 作用:建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便发现潜在的网络安全威胁行为,开展网络安全风险分析机管理

    1-2 网络安全审计相关标准

    1-2-1 美国标准

    美国国家标准局-1985-《可信计算机系统评估标准》(Trusted Computer System Evaluation Criteria,TCSEC

    • 六国七方(加拿大、法国、德国、荷兰、英国、NIST、NSA)
    • 国际标准 ISO/IEC 15408《信息技术安全评估准则》CC
    • 系统分为D、C、B、A(逐级递增,C2开始提出审计要求,B3之后不再变化)

    1-2-2 中国标准

    GB 17859《计算机信息系统安全保护等级划分准则》

    • 用户自主保护级:无审计要求
    • 系统审计保护级:计算机信息系统可信计算基能够创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。记录事件包括:(使用身份鉴别机制;将客体引入用户地址空间;删除客体;系统“三员”动作)对事件记录:(时间、用户、事件类型、执行结果、客体名、无法分辨的需提供审计接口)
    • 安全标记保护级:系统审计保护级基础上。增强:审计记录包含客体名及客体的安全级别;可信计算基具有审计更改可读输出记号的能力
    • 结构化保护级:安全标记保护级基础上。增强:计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件
    • 访问验证保护级:结构化保护级基础上。增强:计算机信息系统可信计算基包含能够监控可审计安全事件发生与累计的机制,当超过阈值时,能够立即向安全管理员发出报警。若这些安全相关的事件持续发生,系统应以最小代价终止它们

    1-3 网络安全审计相关法规政策

    《中华人民共和国网络安全法》要求,采取监测、记录网络运行状态、网络安全事件技术措施,并按照规定留存相关的网络日志不少于六个月

    二、网络安全审计系统类型

    2-1 网络安全审计系统组成

    • 一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理
    • 审计粒度(OS 审计:进程活动、文件操作;网络通信审计:五元组、数据包内容)

    2-2 网络安全审计系统类型

    按照审计对象类型分类:

    • 操作系统审计(Windows:注册登录事件、目录服务访问、审计账户管理、对象访问、审计策略变更、特权使用、进程跟踪、系统事件;Linux:开机自检日志、用户操作日志、登录日志、su日志、登录日志)
    • 数据库审计(CRUD、命令回放)
    • 网络通信安全审计(专用系统和设备:源地址、目的地之、源端口、目的端口、协议类型、传输内容)

    按照审计范围分类:

    • 综合审计系统
    • 单个审计系统

    三、网络安全审计机制与实现技术

    基于主机的审计机制、基于网络通信的审计机制、基于应用的审计机制

    3-1 系统日志数据采集技术

    操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,以便查询分析与管理

    • SysLog
    • SNMP Trap

    3-2 网络流量数据捕获技术

    • 共享网络监听(Hub 集线器)
    • 交换机端口镜像(Port Mirroring)
    • 网络分流器(Network Tap)

    数据采集软件包: Libpcap,Winpcap。Libpcap工作流程:

    1. 设置嗅探网络接口。Linux 中大多为 eth0
    2. 初始化 Libpacp。设置过滤规则,明确捕获数据包类型
    3. 运行 Libpcap 循环主体。Libpcap 开始接受符合过滤规则的数据包

    3-3 网络审计数据安全分析技术

    • 字符串匹配(正则表达式)
    • 全文搜索(ElasticSearch)
    • 数据关联(日志+流量+设备日志)
    • 统计报表(对特定事件、阈值、基线进行统计分析,发送日、周、月报)
    • 可视化分析(Kibana)

    3-4 网络审计数据存储技术

    • 由数据产生系统自行分散存储
    • 集中采集各系统审计数据,建立审计数据存储服务器

    3-5 网络审计数据保护技术

    • 系统用户分权管理(操作员、安全员、审计员。系统“三员”)
    • 审计数据强制访问
    • 审计数据加密
    • 审计数据隐私保护
    • 审计数据完整性保护

    四、网络安全审计主要产品与技术指标

    4-1 日志安全审计产品

    • 概念:日志安全审计产品是有关日志信息采集、分析和管理的系统
    • 技术:Syslog、Snmptrap、NetFlow、Telnet、SSH、WMI、FTP、SFTP、SCP、JDBC
    • 功能:日志采集、日志存储、日志分析、日志查询、事件告警、统计报表、系统管理
    • 产品:绿盟日志审计系统、ELK Stack

    4-2 主机监控与审计产品

    • 概念:主机监控与审计产品是有关主机行为信息的安全审查及管理的系统
    • 原理:代理程序采集主机行为信息,管理员基于信息评估风险状况
    • 功能:系统用户监控、系统配置管理、补丁管理、准入控制、介质管理、非法外联

    4-3 数据库审计产品

    • 概念:对数据库系统活动进行审计的系统
    • 原理:通过网络流量监听、系统调用监控、数据库代理等技术对访问数据库系统的行为进行采集,分析,发现违规或敏感操作信息
    • 方式:①网络监听审计;②自带审计;③数据库Agent

    4-4 网络安全审计产品

    • 概念:有关网络通信活动的审计系统
    • 原理:通过网络流浪信息采集及数据包深度内容分析,提供网络通信及网络应用的活动信息记录。
    • 功能:①网络流量采集;②网络流量数据挖掘分析(邮件审计、Web审计、共享审计、文件传输审计、远程访问审计、DNS 审计)
    • 性能:网络带宽大小、协议识别种类、原始数据包查询响应时间

    4-5 工业控制系统网络审计产品

    • 概念:对工业控制网络中的协议、数据和行为进行记录、分析,并响应的信息安全专用系统
    • 原理:利用网络流量采集及协议识别技术,对工控协议进行还原,形成工控系统的操作信息记录,并保存和分析
    • 实现:①一体化集中产品;②由采集端和分析端两部分组成
    • 产品:绿盟工控安全审计系统、威努特工控安全检测与审计系统

    4-6 运维安全审计产品

    • 概念:有关网络设备及服务器操作的审计系统
    • 信息:“在什么终端、什么时间、登录什么设备、做了什么操作、返回什么结果、什么时间登出”
    • 功能:字符会话审计(SSH、Telnet);图形操作审计(RDP、HTTP);数据库运维审计(Oracle);文件传输审计(FTP、SFTP);合规审计(制度)

    五、网络安全审计应用

    1. 安全运维保障
    2. 数据访问监测
    3. 网络入侵检测
    4. 网络电子取证
    展开全文
  • 日志审计不难搞,很多厂商都有,比如安恒,启明,绿盟,迪普等。重要的对各种设备产品的兼容性,还有就是响应速度,就是性能,因为查海量日志,速度很关键。 今天就到这里吧,该看书啦。TT同学,你要认真读啊,有...

    傍晚,TT那边的天已经黑了。

    周一通常是个不受待见的日子,又遇上下雨,如果再开个会,那应该就是有点糟糕了吧。

    TT在早例会期间,忽然抛出了一句,如果我辞职了,你会同意吗。呃,我又不是TT的领导,也不是家属,哪里有什么同意一说。只是,要分情况来看吧。1,做的不开心,压力过大,有害身心,那么支持离职。2,累了,那么也许适当减压,换个时间再问自己这个问题,决定不要在一瞬间做出。

    好吧,继续学习,还被TT吐槽看了一辈子书。

    4、WAF

    WEB应用防火墙,这个重要性不言而喻了,因为等保合规要求必须有,而且,这个客观的说,还是有用的。毕竟,针对性很强,出现了也很多年了,日益成熟。想到一个问题,就是DMZ区(军事停火区),好尴尬,我想这个停火区,应该是黑客攻击的重点区域吧。我们在建立数据机房的时候,讲道理,是需要把用户上网的数据流量和业务功能区域分开的。简单的说,就是比如一个企业很大,有10栋楼,然后这10栋楼的光纤应该各种汇聚之后呢,比如接在一个万兆交换机A上,然后A呢再接到整个企业的核心交换机C上,那么企业的一些应用,服务,比如邮件,WWW,OA,erp等呢,应该接在另一个交换机B上,B再接到C下面。也就是用户和业务的数据,也就是流量不要混在一起,否则,请问安全设备怎么接。

    这个图还不错,挺形象,简单。中间橙色的是黑客的流量,被WAF分析后,拒绝了。

    这个图说明了WAF的各种部署形式。常用的是4这种方式,WAF下面接的都是一些业务应用,就是放在DMZ区域的前端。如果网络复杂,没法做到,可以使用5,反向代理的方式,几乎是万能的方式,很赞,我在另一篇文章里介绍过。大概意思就是反代的话,不论你要保护的网站在哪个位置,都被强制要求去反代设备那里走一下。这样,只要在反代前部署一个WAF,所有的应用都会被强制流量经过WAF,然后就都会被检查过滤了。

    WAF上面会自带很多检测策略,为什么安全产品要不断迭代更新,一个是引擎,提升算法加快速度。还一个就是规则库,因为不断有新的呃攻击手法,就需要有相应的检测规则,这些规则就在WAF里,用于检测流量中暗藏的各种攻击。就像安检一样,安检有个目录,可能有100种不能通过的东西,这些东西可能每年会不断更新的,所以WAF里的规则也是如此。

    5、日志审计

    又是一天了,估计TT昨天没有看教程,所以今天的继续在昨天WAF的后面吧,也凑凑长度。

    其实还是当面上课有意思,可以启发式教学,可以当面羞辱学生,哈哈。OK,言归正传。

    其实,我是想出去转转买点花过年装饰家里用的。

    日志审计,顾名思义了。那么很容易想到两个问题,审计哪些日志呢?日志的内容又是哪些呢。好吧,我们简单展开一下。

    日志,现在的设备等,这个是必须项目,比如你开发设计了一个软件产品,那么登录操作这个产品的日志都需要记录下来备查。比如WHEN,WHO,做了WHAT。比如admin管理员2月2日下午16:02分登录了系统,进行了事件查询,又创建了任务等。这些在日志里都要求可以看到。否则上级监管单位会给你发通知。

    一个简单的日志例子图

     

    一般设备都会有日志产生,比如网络设备,安全设备,服务器等。这些日志呢,可以存在本地,比如服务器上的一些访问日志,A用户访问了服务器上的网站,那么服务器上就会有个文件里存放了相应的日志文件,比如,是个txt文件,以日期命名,打开后,里面会有A用户什么时间,用什么浏览器,使用的什么IP地址,访问了服务器上具体的哪个页面。

    所以,黑客攻击步骤里,有个很重要的过程叫清理痕迹,就是要把日志清理掉。low一点的黑客会把整个日志都干掉,这个其实也就是表明了,服务器被人搞过了,高级一点的黑客,会把日志中仅和自己相关的日志清理掉,这样呢,一般不会引起怀疑。网上可以看下,有很多专门清理日志的小工具。

    所以,关于日志,建议的做法就是除了本地,还要异地同步存储一份。比如可以存到日志审计设备里。那么比如服务器A,怎么把它自己的日志存储到日志审计设备L的呢。一般两种方式:

    1)、一种就是标准的使用syslog的形式,这个是一种协议,支持这个协议,就可以使用这个形式。就像滴滴平台,你认可接受专车等的协议,那么你就可以去跑相关业务。这个syslog协议就是专门用来发送本地日志到某一特定的日志中心的。在服务器A上需要配置一下syslog的IP和端口,然后呢,相关的日志就会同步推送到日志中心L了。这里要注意的是,一般安全设备或者网络设备对syslog的支持比较好,就是有界面可以直接配置syslog的IP和端口,但是服务器的支持就不够好。相对来说,linux对日志的日志还好点,windows的支持差一些。

    2)、所以呢,还有一种日志传输方式,就是使用agent,对,就是使用代理。也就是在要传输日志的服务器上安装一个小插件,这个插件的作用就是把服务器的日志传输到指定的syslog设备,比如日志审计设备。所以,如果一个企业有上百台机器的日志要审计,这其实是有点工作量的。(如果使用反向代理,那么我们只要把反代的日志传输到审计设备即可。)

    个人觉得,还真没有特别做的很好的日志审计厂商,因为接触测试过好几家,对于服务器的日志的审计,都比较麻烦,就是获取服务器日志信息。还有个问题就是日志的格式的问题,因为不同的设备产生的格式不同,审计设备是需要做一些格式化的处理的。

    日志审计设备,可以把网络中的各种设备的日志都放在一起,进行综合性的查询,这对于一些安全问题的定位和溯源来说还是很有必要的。

    最后引用一下百度的官方介绍:
    综合日志审计平台通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。

    通过日志审计系统,企业管理员随时了解整个IT系统的运行情况,及时发现系统异常事件;另一方面,通过事后分析和丰富的报表系统,管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障,日志审计系统可以帮助管理员进行故障快速定位,并提供客观依据进行追查和恢复。

    日志审计不难搞,很多厂商都有,比如安恒,启明,绿盟,迪普等。重要的对各种设备产品的兼容性,还有就是响应速度,就是性能,因为查海量日志,速度很关键。

    今天就到这里吧,该看书啦。TT同学,你要认真读啊,有问题记得反馈哈。

     

     

     

     

    展开全文
  • 绿盟ESPC

    2021-07-28 16:29:46
    ESPC主要是监测防御类设备产生日志并把日志给ESPC集中收集分析也可以统一集中管理统一下发策略。 理论知识 版本 ESPCv6.0 基于Windows安装 已经下架 不在维护。 ESPCV7.0 基于 Linux安装 安装到服务器 只要能...
  • 绿盟渗透安全工程师校招面试 2020.11.17福州 oswap top10 注入 失效身份验证和会话管理 敏感信息泄露 XML外部实体注入攻击(XXE) 存取控制中断 安全性错误配置 跨站脚本攻击(XSS) 不安全的反序列化 使用具有已知...
  • 一体机三部曲:安装、部署、使用 一、安装 1.准备 1.1自带附件、软件准备 1.2 自背仪表设备 1.3环境要求 1.4防静电 1.5机架准备:牢固,尺寸合适 2.初始化 2.1 流程图 ...⑧数据库审计系统+终端安全系统V9,
  • 审计系统&代码审计

    千次阅读 2019-10-15 15:13:41
    安全产品 审计系统 代码审计
  • 3.审计能够记录的日志内容 (1).日期与事件、事件结果 (2).触发事件的用户 (3).所有认证机制的使用都可以被记录,如ssh等 (4)记录对关键数据文件的修改行为等 4.审计的案例 (1).监控文件访问 (2).监控系统调用 ...
  • Nsfocus-绿盟科技笔试题目(转)

    千次阅读 2017-02-20 09:39:50
    信息安全审计  http://wangdun119.iteye.com/blog/1135809 曾经在绿盟干过2年安全工程师和风险评估咨询师,最近在网上闲逛看到有人把我曾经做过的绿盟笔试题贴了出来,试着做一份参考答案,希望我的解题思路能对...
  • 绿盟科技安全态势感知解决方案

    千次阅读 2017-07-03 11:14:00
    信息安全目前越来越受到重视,“棱镜门”事件爆发后,信息安全不仅引起了企业领导的重视,更引起了国家领导人的广泛关注...还包括目前主流的上网行为审计,堡垒机系统,数据库审计系统,网站防火墙系统;以及符合最...
  • 业务可靠 通过AZ之间数据容灾、AZ内设备和数据冗余、存储介质的慢盘/坏道检测等技术方案,保障数据持久性高达99999999999% 多重防护,授权管理 支持多版本控制、 服务端加密、防盗链、VPC网络隔离、访问日志审计以及...
  • 摘 要:在信息化社会,企事业单位业务对...作为运维操作审计最佳解决方案的堡垒机通常会给人一种神秘莫测的感觉,为了让大家更清楚的了解堡垒机和运维操作审计,本文对堡垒机的概念及主要工作原理进行简要分析。
  • 这时,黑盒测试还是传统的渗透测试,而白盒测试就偏向于代码审计。 1.14 APT攻击 Advanced Persistent Threat,高级可持续性攻击,是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性...
  • 这条sql可能会导致alert日志报错,若出现则重新授予即可。 如下是jixian.sql的内容: 点击( 此处 )折叠或打开 /*创建密码复杂度函数VERIFY_FUNCTION2*/ CREATE OR...
  • set system syslog host 日志服务器IPany notice set system syslog host 日志服务器IPauthorization any set system syslog host 日志服务器IPinteractive-commands any set system syslog host 日志服务器IPport ...
  • 堡垒机和数据库审计

    2020-02-14 21:15:58
    保障云端运维工作权限可管控、操作可审计、合规可遵从。(对标等保主机运维操作审计) 2 核心能力 运维管控:运维侧资产、人员权限统一管控; 运维审计:记录分析、追溯运维事件; 二 为什么要堡垒机? 1 集中管理难...
  • WEB安全审计

    2012-12-19 00:38:00
    一、 Web平台的安全审计评审方法分别从黑盒和白盒两方面考虑。黑盒着重从几种常用的攻击手段入手谈谈如何防御。白盒方面,谈谈从代码级做好防御,这方面的攻击往往不太容易,但也要防范于未然。 1)、黑盒攻击及...
  • linux日志管理

    2004-10-11 08:32:00
    日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。在Linux系统中,有三个主要的日志子系统:连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等...
  • 本文讲的是企业IT管理必备 数据库审计基础介绍,随着信息化的深入和普及,各行各业对信息系统的依赖性越来越强,信息系统中的数据也逐渐成为了企业的生命。数据的不准确、不真实、不一致、重复杂乱等就会影响企业的...
  •  1、什么是审计:信息系统审计来源于传统的财务审计,因此审计是独立于被审计单位的机构和人员,对被审计单位的财政、财务收支及其有关的经济活动的真实、合法和效益进行检查、评价、公证的一种监督活动。...
  • 网络设备配置Syslog日志服务器

    万次阅读 2018-04-20 10:40:15
    网络设备配置日志服务器1 环境介绍1.1 硬件1) 华为防火墙,型号USG51202) PC机作为日志服务器,型号清华同方,硬盘1TB1.2 软件注意:centos 7 32bit,有些软件不能通过yum命令来安装,centos 7 已经不支持这些32位...

空空如也

空空如也

1 2 3 4 5 ... 16
收藏数 320
精华内容 128
关键字:

绿盟日志审计