事件和日志分析
一、我们使用的数据类型这些是进入 SIEM 的日志信息的解析和规范化版本,能够搜索特定字段中的数据,创建跨日志源映射的用例,并提供警报中显示的详细信息级别。事件数据 - 这是警报背后的数据。这应该是在报告日志文件中找到的所有可用详细信息,标准化/转换为标准格式。这种规范化是关键,因为它允许你的搜索跨多种日志类型工作。通常,如果使用 SOAR 或 SIEM,将处理事件数据。在调查事件、警报或事件时,查看三个级别的数据:
[*]警报数据 - 这些本质上是在你的数据中进行的搜索以查找特定匹配项。如果像大多数安全分析师一样在警报队列中工作。警报应会向你显示搜索逻辑以及搜索中匹配的数据点;
[*]事件数据 - 这些是你的搜索和用例使用的事件日志,它们通常被标准化以供 SIEM 处理、解析,以便知道需要哪些字段,并可能进行过滤以限制可能相关的数据范围;
[*]日志数据 - 这是原始的、未经编辑的、未经规范化的数据,在被另一个工具处理之前。 通常如果使用的是 EDR 平台、应用程序日志或系统日志,这些将为你提供原始日志数据;
警报数据和事件数据可能会根据使用的平台而变化,日志数据和格式将特定于正在生成的日志类型。
安全分析师通常会处理警报/事件数据,然后在需要进一步调查时转向日志数据,威胁猎手和取证调查人员通常会使用原始日志数据来获取详细信息。
二、了解日志结果
日志格式将根据日志、日志源、应用程序和制造商而改变。大多数信息都非常密集,如果没有任何参考,可能很难解析。以下是一些备忘单和工具输出的集合,可以帮助理解处理的一些日志类型以及调查的一部分。
[*]Tool Analysis Result Sheet - JP-CERT 收集的大量工具
[*]Cheat-Sheets — Malware Archaeology - 收集各种 Windows 日志类型的日志备忘单
[*]Strontic xCyclopedia - 可执行文件、dll、脚本,文件路径的百科全书,包含大量元数据、文件哈希、信誉分数、句柄等等
[*]Winbindex - 具有文件哈希、大小、创建它的更新等的 Windows 二进制文件索引,非常适合了解文件的更多信息
[*]Echotrail.io - 一个超级方便的工具,可以将 windows 文件映射到哈希、父/子进程等等。非常适合确定文件是否真的是 Windows 文件,或者是否以应有的方式运行
[*]https://filesec.io/ - 及时了解攻击者使用的最新文件扩展名
[*]Linux Logs Explained - Linux 日志文件的完整概述 - Plesk - Linux 创建的各种日志的文件和路径的细分
[*]Windows Security Log Encyclopedia - Windows 事件 ID 说明
[*]Windows Security Identifiers - 描述安全标识符及其在 Windows 操作系统中与帐户和组有关的工作方式
[*]Microsoft Defender AV event IDs and error codes | Microsoft Docs - 了解 Defender AV 事件代码和 Defender 日志
[*]Sysmon - Windows Sysinternals | Microsoft Docs - sysmon 日志记录和报告事件的细分
[*]What are Azure Active Directory reports? | Microsoft Docs- 了解 Azure AD 审核日志
[*]Sign-in log schema in Azure Monitor | Microsoft Docs - 了解 Azure 登录日志
[*]Detailed properties in the audit log - Microsoft 365 Compliance | Microsoft Docs - O365 日志分解
[*]Understanding DHCP Server Log File Format - DHCP 日志分解
[*]The Importance of DNS Logging in Enterprise Security - DNS 日志字段和分析
[*]Proxy server logs for incident response - Web 代理日志细分
[*]Zeek and Windows Logs
[*]Wireshark's MAC address OUI manufacturer lookup
[*]https://malapi.io/ - 可能用于恶意活动的命令的备忘单
[*]BTFM: Log Auditing - pg. 51
[*]Crafting the InfoSec Playbook: Logging Requirements - pg.48
[*]Cyber Operations: Logging - pg. 455
页:
[1]