赛克蓝德日志分析软件告警验证

2024年2月23日发(作者：)

赛克蓝德日志分析软件手册赛克蓝德日志分析软件告警验证南京赛克蓝德网络科技有限公司1

赛克蓝德日志分析软件手册重要声明1、使用本产品必须严格遵照本用户手册的详细描述操作。为确保您正确使用本产品，请在安装前详细阅读本用户手册，避免出现不必要的问题。2、若因使用或不能使用本产品而产生的任何损害（包括间接个人损害、商业利润的损失、营业中断、商业信息的遗失、或其它任何金钱上的损失），本公司不负任何损害赔偿责任。2

赛克蓝德日志分析软件手册版权声明您购买或者免费使用本产品并不意味着南京赛克蓝德网络科技有限公司对其享有的知识产权也进行了转让。本产品（包括但不限于本产品中所含的任何商标、图像、照片、动画、录影、录音音乐、文字和附加程序）随附的印刷材料及南京赛克蓝德网络科技有限公司授权您制作的任何副本均为南京赛克蓝德网络科技有限公司的产品，其知识产权归南京赛克蓝德网络科技有限公司所有。本产品的结构、组织和代码均为南京赛克蓝德网络科技有限公司的商业秘密和保密信息。本产品受中华人民共和国著作权法、相关国际条约以及使用本产品国家所适用的法律的保护。未经书面授权，禁止将本产品以任何方式进行复制、修改、出租、租赁、出借、转让本产品或其中的任一部份。禁止将本产品进行反向工程、反向编译、反汇编或以其它方式尝试发现本产品的源代码。南京赛克蓝德网络科技有限公司保留在任何时候通过为您提供本产品的替换、修改版本或升级收取费用的权利。南京赛克蓝德网络科技有限公司保留对本手册内容在未预先通知的情况下作出修改的权利，如有改动，恕不预先通知。3

赛克蓝德日志分析软件手册目录赛克蓝德日志分析软件...................................................................................................................1告警验证...........................................................................................................................................1目录...................................................................................................................................................4产品介绍...................................................................................................................................5产品结构图.......................................................................................................................5测试环境...........................................................................................................................6告警验证模拟...................................................................................................................6非上班时间登录.......................................................................................................6非上班地点登录.......................................................................................................8密码猜测攻击...........................................................................................................9账号猜测攻击.........................................................................................................10密码猜测攻击成功.................................................................................................11敏感文件操作.........................................................................................................12高危命令操作.........................................................................................................14主机扫描.................................................................................................................16端口扫描.................................................................................................................18非法外联.................................................................................................................19Sql注入...................................................................................................................21Xss攻击..................................................................................................................22非法访问（文件包含和路径遍历访问）.............................................................23敏感文件访问.........................................................................................................25Cc攻击....................................................................................................................26首页展示.........................................................................................................................27技术支持.................................................................................................................................274

赛克蓝德日志分析软件手册产品介绍赛克蓝德日志分析软件(简称：seci-log)是日志收集分析软件,可以收集日志，目前支持syslog日志，后续会增加文件，数据库日志。对日志进行分析，产生告警。目前主要分析linux的安全日志，目前实现的告警有：密码猜测攻击，非上班时间登录，非上班地点登录，账号猜测攻击，密码猜测成功攻击，敏感文件操作，高危命令操作，主机扫描，端口扫描，非法外联。后续会逐步增加其他告警，详见公司网站。产品结构图产品部署分4部分内容，syslog发送部分，采集器采集部分，数据库部分和web服务器部分，第一部分是日志发送方(目前支持syslog)，其余三部分是本产品的主要部分，这四部分内容可以根据规模大小部署在一台机器或者多台机器上面。5

赛克蓝德日志分析软件手册测试环境本次测试的采集器，web服务器和数据库均部署在windows机器上，采用的就是windows的绿色版本，在windows上部署一台linux虚拟机，配置linux的syslog转发到windows的采集器，由采集器分析日志并生成告警。Windows虚拟机的IP为192.168.21.1，即本机上虚拟机虚拟网卡的IP，linux虚拟机的IP地址为192.168.21.11.确保防火墙udp514端口畅通。在windows机器上运行mysql_，win7，win8要右键以管理员方式运行，然后运行，，如果没有报错则表示运行成功。Linux虚拟机上需要开启syslog的远程发送，本机的syslog发送进程是rsyslog，配置文件在/etc/，找到authpriv.*/var/log/secure，位置在增加一行authpriv.*@192.168.21.1，含义是安全日志发送到192.168.21.1机器上，默认的端口为514，确保防火墙畅通。配置好后，然后重启rsyslog服务，命令为servicersyslogrestart。告警验证模拟非上班时间登录本次告警规则为非上班时间登录系统，主要的目的是防止有人在非上班时间登录系统，这种情况是比较危险的。验证过程：首先配置非上班时间，这个系统已经内置，在安全配置的安全配置中。默认0点到8点，晚上20点到24点为非上班时间。然后再用ssh连接工具，比如SecureCRT登录系统。这个时候就会有一条日志记录。6

赛克蓝德日志分析软件手册从日志上可以看出，登录时间为21:32:28秒，是属于非上班时间。登录后等个两三分中到WEB关系系统中查看日志和告警。可以看出系统记录了日志，并产生了告警。非上班地点登录本次告警规则为非上班地点登录系统，主要的目的是防止有人在非上班地点登录系统，这种情况是比较危险的。验证过程：首先配置上班地点。这些数据要根据工作环境设置。从中可以看出这里里面没有192.168.21.1。需要注意的是配置完成后需要重新启动采集器来加载配置参数。7

赛克蓝德日志分析软件手册验证的过程和非上班时间一致。这个时候会产生一条非上班地点告警。需要注意的是对同一条事件如果满足多个告警规则，会生成多条告警，但日志只有一条。从告警日志的详情来看和刚才的非上班时间登录是同一条日志。当把192.168.21.1添加到上班地点中的时候，在做一次登录操作。这时候发现并没有产生告警，则表示此规则生效。密码猜测攻击密码猜测攻击是一种非常常见的攻击手段，其特征是一段时间内容有连续的错误登录日志，则可以确定为密码猜测攻击。验证过程：8

赛克蓝德日志分析软件手册在一段时间内连续输错密码即可。从日志上看，在短时间内输错了3次密码。产生的告警如下：对应的事件：这里面有个疑问就是多条日志在这里面只有一条日志，但对应的告警数量是3，这是因为在系统中对原始事件做了归并处理，当系统发现原始事件是一类的时候，就把这些事件合并成一条事件，对应的事件数量为实际发生的数量。账号猜测攻击账号猜测攻击是一种非常常见的攻击手段，一般被攻击者首先要确定主机的账号后才能对其发起进一步的攻击。所以一般攻击者首先会猜测root的账号，所以修改root账号名称或者禁止root账号远程登陆是非常有效的安全手段。其特征是一段时间内容有连续的账号不存在登录日志，则可以确定为账号猜测攻击。告警规则如下：9

赛克蓝德日志分析软件手册验证过程，用系统中不存在的账号登录系统。产生的告警如下：所对应的日志详情如下：密码猜测攻击成功密码猜测攻击成功是一种非常严重的攻击，表示攻击者已经攻击成功，进入了系统，这种情况是非常危险的，尤其要重点关注此告警。这种告警的主要特点是，刚开始的时候，用户有密码猜测的行为，紧接着用户会有一条登录成功的行为，这两种行为结合起来后就可以得出密码猜测攻击成功。验证过程，首先用错误的密码连续登录系统几次，之后再用正确的密码登录。10

赛克蓝德日志分析软件手册产生的告警，可以看到产生了两条告警，一条是密码猜测攻击，一条是密码猜测攻击成功。我们在看一下系统里面记录的日志，明显能看到，先有5此失败登录，紧接着有一条成功的日志。敏感文件操作敏感文件操作一般是比较危险的操作，如果攻击者经攻击成功，进入了系统，在这种情况下一般要做的事情是清理现场，删除日志增加一些配置等行为，所以针对敏感文件的操作就非常重要了。这种告警的主要特点是，当设备的敏感文件被访问或者修改，则认为11

赛克蓝德日志分析软件手册是敏感文件操作。由于要记录用户的敏感文件操作行为，首先要获得用户的操作行为，在linux系统中默认是没有这种操作行为的，需要进行配置，下面先介绍一下审计配置。1、修改linux文件中的/etc/profile文件。增加一行：exportPROMPT_COMMAND='{msg=$(history1|{readxy;echo$y;});logger"secilanduser=$(whoami)"client=$SSH_CLIENTpath=`pwd`command:"$msg";}'，增加完成后需要此文件进行生效执行./etc/profile。2、在/etc/中配置syslog发送设置：*.info;;;@IP地址。3、重启syslog服务，servicersyslogrestart。经过上面三步后就可以得到用户的操作行为的审计记录了。验证过程：首先进行敏感文件的定义，详见下图：在此配置中，设置了passwd文件和文件为敏感文件，后续如果需要添加其他敏感文件只需要在此添加就可以。在linux控制台中，对着两个文件进行编辑，vi/etc/;vi/etc/passwd。在web管理界面中查看日志。12

赛克蓝德日志分析软件手册从中可以看到两条命令均已经被审计到，然后查看告警。从中可以看到，已经生产了敏感文件操作告警，在看此告警的详情，界面如下：高危命令操作高危命令操作一般是比较危险的操作，如果攻击者经攻击成功，进入了系统，在这种情况下一般要做的事情是清理现场，删除日志增加一些配置等行为，所以针对敏感文件的操作就非常重要了。这种告警的主要特点是，当设备的敏感文件被访问或者修改，则认为是敏感文件操作。由于要记录用户的敏感文件操作行为，首先要获得用户的操作行为，在13

赛克蓝德日志分析软件手册linux系统中默认是没有这种操作行为的，需要进行配置，配置的方法同敏感文件操作，只需要配置一次即可生效。验证过程：首先进行敏感文件的定义，详见下图：在此配置中，设置了passwd操作和rm-rf为高危操作，后续如果需要添加其他高危操作只需要在此添加就可以。在linux控制台中，执行passwd命令，在home下新建一目录aa，然后再目录建一文件test，在目录home中执行rm-rfaa。在web管理界面中查看日志。在日志中详细看到用户的操作过程，然后查看告警：14

赛克蓝德日志分析软件手册从中可以看到，已经生产了高危命令操作告警，在看此告警的详情，界面如下：主机扫描主机扫描是指在一台机器上对内网或者外网一个网段进行扫描，目的是要发现网络中存活的主机，为下一步的操作打下基础。这条告警和下面的端口扫描和非法外联都属于网络层面的告警，前提也是需要配置日志策略。在linux系统中大部分都内置了iptabe防火墙，可以利用iptable防火墙的日志功能进行采集日志，然后进行分析这些告警。下面介绍一下日志配置：1、在linux下执行一下命令，可以是iptables的日志从syslog发送：iptables-AOUTPUT-ptcp-jLOG--log-prefix"seci-iptables"--log-level4iptables-AOUTPUT-pudp-jLOG--log-prefix"seci-iptables"--log-level42、配置syslog发送策略：15

赛克蓝德日志分析软件手册g@IP地址需要注意的是*.info;;;;中要加上,不然就会重复发送，当然可以不要第一条，直接在info中发送也是可以的。3、从起syslog服务:servicersyslogrestart4、安装nmap，下面以centos为例：yuminstallnmap经过以上配置就可以配置好防护墙日志发送策略。验证过程，首先要进行配置，合法端口。详见下图：执行nmap命令：nmap-sP192.168.21.1-20，扫描20台主机。查看告警：然后查看告警详情：16

赛克蓝德日志分析软件手册可以发现，nmap在主机发现的扫描中，主要探测了443和80端口，这个时候告警会产生两条主机扫描的告警。端口扫描端口扫描是指在一台机器上对内网或者外网的另一台机器进行端口扫描，目的是要发现网络中主机开放的端口信息，为下一步的操作打下基础。这条告警也属于网络层面的告警，前提也是需要配置日志策略。详细的配置信息详见主机扫描。17

赛克蓝德日志分析软件手册验证过程：执行nmap命令：nmap-p20-80192.168.21.1地址，扫描61个端口。查看告警：查看详情：可以看出扫描了此机器的端口多个不同端口的信息。非法外联非法外联是指在一台机器上不该有的其他连接信息，比如服务器，正常情况下可能只开放了80，22端口，而且一般服务器是被动接收的日志，当发现日志中有主动发起的连接而且不是规定的端口，很有可能是中了木马，这个时候要特别关注。这条告警也属于网络层面的告警，前提也是需要配置日志策略。详细的配置信息详见主机扫描。验证过程，首先要进行配置，合法端口。详见下图：18

赛克蓝德日志分析软件手册表示本机22和514端口是合法的端口其他端口都是非法端口，执行上面主机扫描或者端口扫描的nmap命令，即可产生非法外联告警。查看详情：从中可以看出有非法外联行为，里面的日志有的是和主机扫描或者端口扫描重复。19

赛克蓝德日志分析软件手册Sql注入下面的告警都是从Web服务器日志中产生的，web服务器日志格式支持Apache的NCSA日志格式，包括NCSA普通日志格式(CLF)和NCSA扩展日志格式(ECLF)两类。默认apache，tomcat分别就是这两种格式。日志文件配置，日志文件采集引入了一个新的配置文件：ties，和ties配置文件在同一目录下。配置文件内容如下：=me=D:/develop/secilog-win/tomcat/logs/localhost_access_log*.txt第一个配置项：表示日志文件对应的Ip地址，因为web日志中是不包括服务器信息的；第二个配置项是me，表示的是文件的位置，绝对路径，支持两种方式的写法，全文件名和部分文件名匹配。有些日志不做分割就只有一个文件，有些日志做了分割，每天会产生一个新的文件，这两种都支持。程序只处理修改时间为当天的第一个日志文件，对历史文件不做处理。如果没有做分割的文件，历史文件可能会比较大，建议做的时候可以先备份后删除一部分。SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQLInjection，即SQL注入。SQL注入的判断是根据url参数中判断是否有sql语句的特征比如and等，如果仅仅通过日志进行检测准确度不是太高，可以作为辅助的参考，同时日志只能记录get请求的记录，对POST请求则无能为力，还需要其他手段才能得到准确的行为。为了减少误报，系统中的判断是三分钟符合特征的记录在三次以上才进行告警。验证过程，在rul中输入带sql的特征的参数，比如输入三次下面的链接：/1001321%20AnD%202011%3d2011_1002024_等几分钟后可以看到如下告警：20

赛克蓝德日志分析软件手册查看详情：表示产生了SQL注入攻击。Xss攻击XSS攻击：跨站脚本攻击(CrossSiteScripting)，为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(sameoriginpolicy)。这种类型的漏洞由于被黑客用来编写危害性更大的phishing攻击而变得广为人知。验证过程，就是在url中输入js的内容，比如，输入三次：/?article=等几分钟后可以看到如下告警：21

赛克蓝德日志分析软件手册查看详情：非法访问（文件包含和路径遍历访问）目录遍历漏洞在国内外有许多不同的叫法，也可以叫做信息泄露漏洞、非授权文件包含漏洞等。目录遍历是针对WindowsIIS和Apache的一种常见攻击方法，它可能让攻击者访问受限制的目录，通过执行/c命令来提取目录信息，或者在Web服务器的根目录以外执行命令。目录遍历漏洞可能存在于Web服务器软件本身，也可能存在于Web应用程序之中。目录遍历攻击比较容易掌握，要执行一个目录遍历攻击，攻击者所需要的只是一个web浏览器，并且掌握一些关于系统的缺省文件和目录所存在的位置的知识即可。验证过程，就是在url中输入文件操作内容，比如，输入三次：/?file=../../../../../../../../../etc/passwd22

赛克蓝德日志分析软件手册查看详情：敏感文件访问敏感文件访问和非法外联比较类似，只是所关注的文件不一样，敏感文件主要关注web服务的配置文件，源代码文件等。验证过程，就是在url中输入程序配置文件操作内容，比如，输入三次：/?file=../23

赛克蓝德日志分析软件手册查看详情：WebShellWebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问这些asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的（可以上传下载文件，查看数据库，执行任意程序命令等）。验证过程，就是在url中输入webshell常用内容，比如，输入三次：/查看详情：24

赛克蓝德日志分析软件手册Cc攻击CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。产品对攻击的检测时当同一个ip地址在3分钟内请求超过1000次的时候，表示发生了cc攻击，在这里有可能会产生误报，当代理或者共享出来的时候有可能会产生误报，所以要分析攻击IP是否是代理IP。验证过程，就是在短时间内有大量的请求，由于环境现在，我们模拟工具的时候策略是60次以上就告警，实际的程序是1000次以上告警。查看详情：25

赛克蓝德日志分析软件手册首页展示当这些告警都生成后，首页就比较丰富了，首页展示效果如下：技术支持如需了解有关本产品及赛克蓝德其他产品的详细信息，请访问我们的对外平台。公司网址:技术支持邮箱:service@群支持:微博账号:微信账号:317896151/secislandssecisland26