SIEM (安全信息和事件管理)
SIEM(安全信息和事件管理)是一个由不同的监视和分析组件组成的安全和审计系统。最近网络攻击的增加,加上组织要求更严格的安全法规,使SIEM成为越来越多的组织正在采用的标准安全方法。
但是SIEM实际上涉及到什么呢?它由哪些不同的部分组成?SIEM实际上如何帮助减轻攻击?本文试图提供一种SIEM 101。后续文章将深入探讨一些可用于实际实现SIEM的解决方案。
1、为什么我们需要SIEM?
毫无疑问,对计算机系统的攻击不断增加。Coinmining, DDoS, ransomware,恶意软件,僵尸网络,网络钓鱼——这只是今天那些正义之战所面临的威胁的一部分。
有趣的是,正如赛门铁克(Symantec)在其2018年互联网安全威胁报告中所指出的那样,不仅攻击数量在上升,使用的途径和方法也在上升:
“从WannaCry和Petya/NotPetya的突然传播,到造币商的迅速增长,2017年再次提醒我们,数字安全威胁可能来自新的和意想不到的来源。”随着时间的推移,不仅威胁的数量在不断增加,而且威胁的范围也变得更加多样化,攻击者会更加努力地寻找新的攻击途径,并在此过程中隐藏自己的踪迹。
系统和网络监控在帮助组织保护自己免受这些攻击方面一直发挥着关键作用,多年来已经发展了一些相关的方法和技术。然而,网络犯罪性质的变化意味着一些攻击往往会被忽视,这一点很快就变得显而易见。数据融合,即来自多个数据源的数据的聚合和不同事件之间的相关性,以及长时间保留这些数据的能力变得至关重要。
网络攻击的增长导致合规要求更加严格。健康保险流通与责任法案(HIPAA),支付卡行业数据安全标准(PCI DSS),萨班斯-奥克斯利法案(SOX),和一般的数据保护监管(GDPR)——所有的这些都需要组织来实现一组全面的安全控制,包括监测、审计和报告,所有这些都促进了SIEM系统。
2、定义与演变
简单地说,SIEM是一个由多个监视和分析组件组成的安全系统,旨在帮助组织检测和减轻威胁。
如上所述,SIEM将许多其他安全规程和工具结合在一个综合的框架下:
日志管理(LMS)——用于传统日志收集和存储的工具。
安全信息管理(SIM)——集中于从多个数据源收集和管理与安全相关的数据的工具或系统。例如,这些数据源可以是防火墙、DNS服务器、路由器和防病毒应用程序。
安全事件管理(SEM)——基于主动监视和分析的系统,包括数据可视化、事件相关性和警报。
SIEM是今天的术语管理系统,所有上述合并到一个层,知道如何从分布式自动收集和处理信息的来源,将它存储在一个集中位置,不同事件之间的关联,并根据这些信息生成警报和报告。
3、SIEM组件
SIEM不是一个单独的工具或应用程序(尽管有一些工具可以帮助部署SIEM系统,见下文),而是一组不同的构建块,它们都是系统的一部分。没有标准的SIEM协议或已建立的方法,但是大多数SIEM系统将包含本节中描述的大部分(如果不是全部的话)元素。
3.1聚合
日志表示在数字环境中运行的进程的原始输出,是提供实时发生的事情的准确图像的最佳来源,因此是SIEM系统的主要数据源。
无论是防火墙日志、服务器日志、数据库日志,还是在您的环境中生成的任何其他类型的日志,SIEM系统都能够收集这些数据并将其存储在一个中心位置以进行扩展的保留。此收集过程通常由代理或应用程序执行,部署在监视的系统上,并配置为将数据转发到SIEM系统的中央数据存储。
3.2处理和标准化
在SIEM上下文中收集数据的最大挑战是克服各种日志格式。从本质上说,SIEM系统将从大量层(服务器、防火墙、网络路由器、数据库)中提取数据,每种记录的格式都不同。
看看下面的例子:
这两个日志消息报告的是同一个事件——特定用户(您的真实用户)和客户机IP的身份验证失败。注意时间戳字段的格式、用户的日志记录方式和实际消息的不同。
为了能够跨不同源和事件相关性高效地解释数据,SIEM系统能够规范化日志。这个规范化过程包括将日志处理为可读的结构化格式,从日志中提取重要数据,并映射日志中包含的不同字段。
3.3关联
一旦收集、解析和存储,SIEM系统中的下一步将负责连接这些点并关联来自不同数据源的事件。这种关联工作基于各种SIEM工具提供的规则、为不同的攻击场景预定义的规则,或者由分析人员创建和调整的规则。
简单地说,关联规则定义了一个特定的事件序列,该序列可能表示安全性受到了破坏。例如,可以创建一个规则来确定在一段时间内从特定IP范围和端口发送的请求数量何时超过x。
环境中记录的数据量非常大。即使是中小型组织也很可能每天发送数十gb的数据。实际上,规则通过消除干扰并指向可能有意义的事件,帮助将数据压缩为更易于管理的数据集。
大多数SIEM系统还提供生成报告的内置机制。这些报告可以用于管理、审计或合规性原因。例如,可以将详细描述触发警报或规则的每日报告嵌入到仪表板中。
3.4呈现
可视化数据和事件的能力是SIEM系统中的另一个关键组件,因为它允许分析人员方便地查看数据。包含多个可视化或视图的仪表板有助于识别趋势、异常情况,并监控环境的总体健康或安全状态。一些SIEM工具将附带预先制作的仪表板,而另一些工具将允许用户创建和调整自己的仪表板。
3.5缓解和修复
一旦相关规则就位,并监视构建的仪表板以提供系统的全面概述,SIEM系统的最后一个关键组件就是一旦识别事件如何处理。
大多数SIEM系统支持自动包含和减轻安全事件的机制。例如,根据相关规则,可以将SIEM系统配置为自动启动内部升级流程——执行脚本,这些脚本通过触发警报、打开票证等来启动包含进程并将球传递到组织中的正确资源。
4、那么,SIEM如何提供帮助呢?
我们已经定义了什么是SIEM,并且对组成SIEM系统的主要组件有了大致的了解。但是SIEM系统实际上是如何帮助安全分析人员识别和阻止攻击的呢?
4.1可见性
对于安全分析人员来说,SIEM系统是他们所保护的IT环境的焦点。SIEM系统集中收集来自所有相关数据源的安全数据,存储大量信息,可以使用这些信息了解实时发生的事件和流程。
获得的可见性程度直接受到作为SIEM系统一部分的日志聚合和收集过程的影响。如上所述,如果没有适当的处理和解析,日志数据将缺乏结构,因此将更加难于分析。
SIEM系统的另一个主要优点是能够将事件关联起来并在仪表盘中可视化数据,这为分析人员提供了一种获得实时可见性的方法。
4.2事件检测和缓解
许多事件不会被第一行安全设备注意到,因为它们没有更广泛的上下文。SIEM相关规则以及围绕它们构建的报告机制可以帮助组织在发生这些事件时得到通知。
在DDoS攻击的例子中,防火墙很可能报告异常的网络流量,而web服务器请求则报告来自特定ip组的请求的404响应。
在这种情况下,缓解可能只是指示防火墙阻止来自这些ip的通信,可以将SIEM规则配置为在这两个事件之间进行关联,并向相关资源发出警报,以便在早期阻止攻击。
4.3合规
当今大多数合规性类型,如HIPAA、PCI DSS、SOX和GDPR,都要求组织遵守一系列的安全控制。这些控制包括:日志收集、监视、审计和警报。
不用说,从上面的描述中已经很清楚,SIEM系统为所有这些文章提供了支持,这也是SIEM成为实现安全性和合规性的行业标准的原因之一。
5、下一个什么?
这篇文章更多的是理论,而不是实践。组织正在实现SIEM,以保护其环境,并遵从越来越多的合规类型。一旦组织将SIEM的需求内在化,下一个自然阶段就是规划技术实现。
可以使用各种工具和平台来实现SIEM,包括专有的(AlienVault、QRadar、LogRhythm)和开源的(OSSIM、OSSEC、ELK)。在以后的文章中,我们将讨论这个精确的主题,概述不同的解决方案及其优缺点。
第一阶段:网络安全核心基础及提高进阶核心知识
可掌握的核心能力:
1、掌握网络安全基础知识、了解安全行业行情、安全需求、法律法规等必备基础知识
2、掌握信息安全常见漏洞与风险等相关安全防护策略
3、建立简单攻防测试环境(Vmware、Windows、Linux 安装配置、恶意代码、勒索病毒等攻击防范)
4、能编写简单的 HTML&JS、PHP 代码,一些项目单个功能开发
5、能对 MySQL/MSSQL 创建、查看、修改、增加、调整等字段顺序、排序、删除、索引、权限等数据字段相关命令行操作。
可解决的现实问题
熟悉网络安全常见专业术语、个人防护策略建立、攻防环境搭建、HTML&JS、PHP、数据库等相关基本操作。
市场价值:
具备网络安全基础知识,能读懂和编写简单的 HTML&JS、PHP 代码并能通过数据库进行创建、查看、修改、增加、调整等相关字段操作,对简单攻防环境具备自我搭建并进行攻防测试。
第一章:网络安全基础入门
1、网络安全当前大环境趋势 2、网络安全当前就业情况及课程内容概述
3、企业当前网络安全需求,从企业招聘开始 4、网络安全如何学习,该从那里入手,将来如何定位发展
5、网络信息安全基础知识 6、网络信息安全法律法规
7、网络信息安全常见漏洞与风险 8、网络信息安全防护策略
9、选择 VMware 好处、VMware 环境搭建实战 10、Windows、Linux 生产标准安装实战
实战案例:
1、恶意程序攻击及防御实例讲解 2、玩转勒索病毒,让你掌握勒索病毒的制作过程、攻击原理及防范方法
第二章: html 、 Javascript 入门学习
1、为什么要学习 html 2、html 元素、标签、格式、实体详解
3、html 链接、框架、表格、列表、表单、图像、背景讲解 4、JavaScript 简介、特点、组成等
5、如何在网页中写 Javascript 6、Javascript 语法、数据类型、变量的定义与使用
7、运算符、流程控制、字符串对象、事件等相关案例讲解
实战案例:
1、用 html 结合 Javascript 写一个网站登录页面 2、Javascript 安全事例分析
第三章:PHP 入门学习
1、php 环境搭建、编写代码工具选择
2、php 基本语法(涵数、变量、常量、注释、数据类型、流程控制、算术运算)
3、php 流程控制(if 条件结构、语句多种嵌套、switch 语句、while 循环、for 循环、goto 循环等)
4、php 涵数精讲 5、php 数组与数据结构 6、php 正规表达式 7、php 文件系统
8、php 文件上传 9、php 错误处理 10、php 操作 mysql 数据库 11、php 会话管理和控制
实战案例:
1、通过 php 编写一句话木马利用工具 2、通过 php 编写 Web 登录程序
第四章: MySQL/MSSQL
1、数据库介绍、分类、安装配置、登录连接等
2、数据库基本操作(创建、查看、选中、查库表、删除数据库等相关命令行操作)
3、数据库表操作(创建、查看、选中、删除数据表等相关命令行操作)
4、数据字段操作(创建、修改、增加、调整字段顺序、排序、删除等数据字段相关命令行操作)
5、数据类型(整型、浮点型、字符型、时间型、复合型等)
6、字符集、索引 7、增删改查之更新记录 8、数据库权限操作
实战案例:
1、通过所学数据库搭建多个不同站点,并进行数据库相关操作
第二阶段: Web 渗透测试及源代码审计
可掌握的核心能力:
1、掌握渗透测试核心渗透思路
2、掌握渗透测试常用工具使用
3、掌握协议、Web、中间件、内网等渗透测试
4、掌握源码审计工具使用及人工代码审计
5、掌握渗透测试报告编写
可解决的现实问题:
1、能独立完成大型企业渗透测试并能进行漏洞修复,同时能对渗透测试结果输出报告
2、能通过协议缺陷完成企业业务压力测试并进行漏洞防范
3、能通过工具及手工完成 PHP 源代码审计
市场价值:
具备渗透测试安全工程师技能,熟练掌握渗透测试核心思路和测试方法,能独立完成协议、Web、中间件、内网渗透测试及 PHP 代码审计,对渗透结果报告输出。
第一章:攻防环境搭建
1、Windows 及 Kail 安装配置
2、22 种组合 apache、nginx、Lighttpd、tengine 等 php 攻防环境搭建
3、asp+aspx+mssql 攻防环境搭建 4、tomcat+Struts 攻防环境搭建
5、jboss 攻防环境搭建 5、Weblogic 攻防环境搭建
第二章:渗透测试之信息收集
1、主域名及二级域名深测 2、Google Hack 信息探测
3、子域名探测 4、敏感信息收集
5、Web 系统指纹识别 6、 fofa 及 nmap 使用
7、前期信息资产梳理
第三章:渗透测试必备工具篇
1、漏洞扫描原理及 X-Scan 使用 2、Web 漏洞扫描篇-AppScan 安装配置及扫描
3、Web 漏洞扫描篇-AWVS 安装配置及扫描 4、Web 漏洞扫描篇-WebInspect 安装配置及扫描
5、Web 漏洞扫描篇-Netsparker 安装配置及扫描 6、Web 漏洞扫描篇-绿盟 WVSS
7、Web 漏洞扫描篇-安恒明鉴 8、系统漏洞扫描篇-Nessus 使用
9、系统漏洞扫描篇-nexpose 使用 10、系统漏洞扫描篇-启明天镜 B/S 版本安装使用
11、系统漏洞扫描篇-绿盟 RSAS 12、Burp 安装与配置
13、Burp 漏洞扫描及检测模块 14、Burp 代理模块 15、Burp intruder 模块
16、Burp 其它模块 17、漏洞扫描器评估方案讲解(上)
18、漏洞扫描器评估方案讲解(下) 19、完成一个企业漏洞扫描报告编写
第四章: Kail 之 MSF 渗透测试
1、Kail 问题解答及 MSF 初识 2、MSF 完美升级及目录结构解读
3、MSF 基本命令 4、MSF 之 MS08-067 与 MS10-018 漏洞攻防还原
5、MSF 之 Word 攻击漏洞还原 6、MSF 之 MS17-010 漏洞攻防还原
7、MSF 之后续权限渗透(上) 8、MSF 之后续权限渗透(中)
10、MSF 之后续权限渗透(下) 11、MSF 之 samba 服务漏洞攻防还原
12、MSF 之 Bash Shellshock CVE-2014-6271(破壳)与 PHP CGI 漏洞还原
13、MSF 之 Java RMI SERVER、Distcc、Druby 等相关漏洞攻防还原
14、MSF 之 CVE-2017-8464 震网三代、CVE-2018-4878 漏洞攻防还原与辅助模块讲解
第五章: SQL 注入漏洞攻防
1、SQL 注入攻击原理 2、SQL 注入攻击分类及提交方式
3、union 及 information_schema 手工注入 4、基于函数报错手工注入(insert update delete)
5、http Header 及 Cookie 手工注入 5、(布尔型、时间型)手工盲注
5、宽字节及二阶注入 6、Mysql+PHP 手工获取 Webshell 过程
7、Access 手工注入(上) 8、Access 手工注入(下)
9、Access 手工偏移注入 10、Access 手工跨库查询
11、Cookie 手工实战注入 12、Cookie 中转及工具注入
13、MSSQL SA 权限手工获取 Webshell 过程 14、MSSQL dbowner 权限手工获取 Webshell 过程
15、Sql 注入漏洞修复 16、sqlmap 注入神器高级使用一
17、sqlmap 注入神器高级使用二
第五章: xss 漏洞攻防
1、XSS 攻击原理及分类介绍演示 2、cookie 获取及 xss 后台使用
3、xss 钓鱼及盲打演示 4、xss 获取键盘记录演示
5、xss 防御绕过 6、xss 安全防范
第六章:上传验证绕过
1、上传检测流程概述 2、客户端检测绕过(JS 检查)
3、服务端黑名单绕过(特殊可解析后缀) 4、服务端黑名单绕过(大小写绕过)
5、服务端黑名单绕过(点绕过) 6、服务端黑名单绕过(空格绕过)
7、服务器黑名单绕过(目录路径检测绕过) 8、服务端黑名单绕过(::$DATA 绕过)
9、服务端黑名单绕过(双后缀名绕过) 10、服务端白名单绕过(MIME 类型检测绕过)
12
11、服务端白名单绕过(%00 及 0x00 截断绕过) 12、服务端内容检查绕过(文件头检查)
13、服务端内容检查绕过(突破 getimagesize 及 exif_imagetype 涵数)
14、服务端内容检查绕过(二次渲染绕过) 15、服务端内容检查绕过(文件包含绕过)
15、代码逻辑(条件竞争绕过) 16、各中间件解析漏洞绕过
17、文件上传漏洞安全防范
第七章:文件包含漏洞
1、文件包含漏洞原理介绍 2、文件本地包含漏洞演示
3、远程文件包含漏洞演示 4、包含漏洞读写文件及特殊攻击
5、文件包含漏洞防范措施
第八章: CSRF 攻防
1、CSRF 漏洞概述及原理 2、CSRF 快速拖库攻击还原
3、CSRF 管理员密码修改还原 4、CSRF 进行地址修改及钓鱼攻击还原
5、CSRF 漏洞安全防范
谈 第九章:浅谈 F SSRF 漏洞
1、SSRF 原理及寻找方法 2、SSRF 攻防实战及防范方法
第十章: E XXE 原理利用防御
1、XXE 基础知识 2、XXE 漏洞攻防测试
3、XXE CTF 考题 测试及漏洞修复
第十一章:远程代码执行及反序列化漏洞
1、远程代码执行原理介绍 2、PHP 远程代码执行常用涵数演示
3、php 反序列化原理和案例演示 4、Weblogic 反序列化攻防过程还原
5、Struts2 命令执行攻防过程还原 6、Jboss 反序列化攻防过程还原
7、远程命令执行漏洞修复
第十三章:编辑器漏洞
1、常规编辑器漏洞介绍 2、常规编辑器漏洞攻击还原
第十四章:越权漏洞
1、越权漏洞原理介绍 2、水平越权攻防还原
3、垂直越权攻防还原 4、越权漏洞修复
第十五章:逻辑漏洞
1、逻辑漏洞概述 2、如何挖掘逻辑漏洞
3、交易支付中的逻辑问题 4、密码修改逻辑漏洞
5、个人项目逻辑漏洞分享 6、逻辑漏洞修复
第十六章:暴力猜解
13
1、C/S 架构暴力猜解(常用网络、系统、数据库、第三方应用密码暴破)
2、B/S 架构暴力猜解(常用 Web 密码暴破) 3、hydra 安装与使用
4、暴力猜解安全防范
第十七章:验证码安全
1、验证码安全介绍及分类 2、验证码绕过(on client)
3、验证码绕过(on server) 4、验证码识别攻击还原
第十八章:社会工程学T &APT 攻击
1、社会工程学介绍及敏感信息收集 2、常见社工攻击手法
3、社工攻击防范 4、APT 攻击简介及攻击过程分析
5、APT 攻击防范
第十九章:其它漏洞
1、不安全的任意文件下载 2、目录遍历漏洞还原
3、敏感信息泄露 4、URL 重定向漏洞
第二十章: WAF 绕过
1、WAF 安装与配置 2、WAF 绕过 SQL 注入
3、WAF 绕过文件上传 4、Waf 绕过漏洞扫描
5、WAF 绕过命令执行 6、Waf 绕过脚本免杀
3、WAF 绕过其它安全性验证
第二十一章:源代码审计
1、安全开发生命周期 2、常规源代码审计工具安装
3、常见 CMS 系统源代码实战审计一 4、常见 CMS 系统源代码实战审计二
第二十二章: Windows/Linux 权限提升
1、Windows 服务器权限分析 2、Windows 密码安全性测试
3、Windows 权限提升 4、Windows 域环境搭建
5、域控权限提升 6、Linux 权限提升
第二十三章:数据库权限提升
1、mysql 数据库权限提升 2、mssql 数据库权限提升
3、数据脱取
第二十四章:第三方应用软件安全
1、第三方应用软件安全(serv-u 提权)
2、第三方应用软件安全(FlashFXP、Gene6 FTP、其它 FTP 软件权限提升)
3、第三方应用软件安全(PcanyWhere、VNC、Radmin 权限提升)
4、第三方应用软件安全(系统启动项、服务替换、Dll 劫持权限提升)
5、第三方应用软件安全(Perl、THINKPHP 权限提升)
6、内网跨网络远程连接
第二十五章: ARP 攻防分析
1、ARP 攻击原理分析
2、ARP 多种攻击实战测试(内网限速、断网、单向与双向获取用户数据及网页挂马还原)
3、ARP 多种攻击实战测试(DNS 欺骗、用户密码盗取)
4、ARP 攻击防范
第二十六章:DOS 与 与 DDOS 攻防分析
1、Syn-Flood 攻防还原 2、IP 地址欺骗攻防
3、Smurf 攻防还原 4、sockstress 攻防还原
5、TearDrop 攻防还原 6、DNS 放大攻击攻防还原
7、SNMP 放大攻击攻防还原 8、NTP 放大攻击攻防还原
9、应用层 CC 攻防攻防还原 10、DDOS 攻防过程还原
11、其它类型压力测试
第二十七章:渗透测试报名编写
1、大中型企业渗透测试报告编写注意事项 2、遵从规范 3、行业标准
4、专业服务 5、文档 6、报告格式 7、封面页 8、保密声明
9、文档控制 10、时间表 11、执行总结 12、方法论 13、渗透测试流程
14、调查结果总结 15、漏洞 16、网络考虑的因素及建议 17、附录 18、术语表
19、工作说明书 20、外部渗透测试 21、工作说明书附加材料 22、渗透测试报表工具说明
23、小结
第三阶段:等级保护
可掌握的核心能力:
1、掌握等级保护定级备案
2、掌握等级保护差距评估
3、掌握等级保护规化设计
4、掌握等级保护安全整改
5、掌握等级保护测评验收
可解决的现实问题:
1、能独立完成大型企业等级保护定级备案、差距评估、规化设计、安全整改、测评验收
2、在企业资金严重缺乏的情况下完成安全整改验收
3、在特殊情况下(公安通报、行业通报、企业需要申请相关资质等)快速获取等保证书