DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 6714|回复: 0

[蓝队] 事件和日志分析

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2022-3-23 15:20:57 | 显示全部楼层 |阅读模式

一、我们使用的数据类型


这些是进入 SIEM 的日志信息的解析和规范化版本,能够搜索特定字段中的数据,创建跨日志源映射的用例,并提供警报中显示的详细信息级别。事件数据 - 这是警报背后的数据。这应该是在报告日志文件中找到的所有可用详细信息,标准化/转换为标准格式。这种规范化是关键,因为它允许你的搜索跨多种日志类型工作。通常,如果使用 SOAR 或 SIEM,将处理事件数据。在调查事件、警报或事件时,查看三个级别的数据:

  • 警报数据 - 这些本质上是在你的数据中进行的搜索以查找特定匹配项。如果像大多数安全分析师一样在警报队列中工作。警报应会向你显示搜索逻辑以及搜索中匹配的数据点;
  • 事件数据 - 这些是你的搜索和用例使用的事件日志,它们通常被标准化以供 SIEM 处理、解析,以便知道需要哪些字段,并可能进行过滤以限制可能相关的数据范围;
  • 日志数据 - 这是原始的、未经编辑的、未经规范化的数据,在被另一个工具处理之前。 通常如果使用的是 EDR 平台、应用程序日志或系统日志,这些将为你提供原始日志数据;

警报数据和事件数据可能会根据使用的平台而变化,日志数据和格式将特定于正在生成的日志类型。

安全分析师通常会处理警报/事件数据,然后在需要进一步调查时转向日志数据,威胁猎手和取证调查人员通常会使用原始日志数据来获取详细信息。

二、了解日志结果


日志格式将根据日志、日志源、应用程序和制造商而改变。大多数信息都非常密集,如果没有任何参考,可能很难解析。以下是一些备忘单和工具输出的集合,可以帮助理解处理的一些日志类型以及调查的一部分。




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 16:02 , Processed in 0.084535 second(s), 24 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表