信息安全事故处理急救箱

爱莫

鼎鼎大名的安全分析专家Anton Chuvakin和Lenny Zeltser博士为大家提供了这份宝贵的清单，当信息安全事故发生时，按清单的指引对设备的日志进行审核，可以迅速锁定问题点。一、处理步骤

• 确定可以用哪些日志数据及自动分析工具
• 把所有日志记录集中到一个方便分析的地方
• 去除哪些明显是正常、每日例行或重复的日志数据
• 确认日志记录的时间戳是否可靠，注意不同运营地点的时差
• 关注那些最近发生的变更、故障、错误、状态变化、接入以及管理事件，以及其它在工作环境中不常见的事件。
• 从现在时刻开始，按时间倒序重现事故发生前后的系统运行状况。
• 对来自不同日志的事件进行关联分析，获得一个综合的系统分析图。
• 找出发生事故的原理，用日志数据进行验证

二、可用的日志来源
l
服务器和工作站的操作系统日志
l
应用系统的日志 ( 如 web 服务器、数据库服务器等)
l
安全管理工具的日志( 如 防病毒、防火墙、入侵检测和防御等)
l
向外访问的 proxy 日志以及应用程序日志
l
其它运行记录和审计日志等
三、典型系统的日志位置
l
Linux 操作系统及其组件: /var/logs
l
Windows 操作系统及其组件: Windows 事件查看器 (安全类、系统类和应用类)
l
网络设备: 通常采用Syslog记录日志，有些设备采用自定义的格式和位置。
四、Linux系统中查看的内容

用户登录成功Successful user login	“Accepted password”, “Accepted publickey”, "session opened”
用户登录失败Failed user login	“authentication failure”, “failed password”
用户注销User log-off	“session closed”
用户账号变更或删除User account change or deletion	“password changed”, “new user”, “delete user”
Sudo授权 Sudo actions	“sudo: … COMMAND=…” “FAILED su”
服务失败Service failure	“failed” or “failure”

五、在Windows系统中查看的内容

下面的事件ID适用于 Windows 2000/XP，对于 Vista/Windows 7的事件ID，需要加上4096.
下面的事件绝大多数出现在安全类日志中，很多事件只会出现在域控制服务器上。
用户登录和注销User logon/logoff events	登录成功：528, 540; 登录失败：529-537, 539; 注销：538, 551
账户变更User account changes	创建：624; 激活：626; 变更：642; 失效：629; 删除： 630
密码变更Password changes	自己修改：628; 修改他人：627
服务启动或终止Service started or stopped	7035, 7036, 等
目标访问被拒绝Object access denied (需启动系统审计)	560, 567 等

六、网络设备中查看的内容

需同时查看链入和链出活动
下面示例的日志摘要采用Cisco ASA 日志，其它设备有类似的功能。
防火墙放行的链接Traffic allowed on firewall	“Built … connection”, “access-list … permitted”
防火墙阻止的链接Traffic blocked on firewall	“access-list … denied”, “deny inbound”, “Deny … by”
传输的字节数Bytes transferred (可能是大容量文件)	“Teardown TCP connection … duration … bytes …”
带宽和协议使用情况Bandwidth and protocol usage	“limit … exceeded”, “CPU utilization”
检测到攻击Detected attack activity	“attack from”
用户账户变更User account changes	“user added”, “user deleted”, “User priv level changed”
管理操作Administrator access	“AAA user …”, “User … locked out”, “login failed”

七、Web 服务器要查看的内容

对不存在的文件访问申请超过多少次
URL中出现代码（SQL，HTML等）
访问未安装的服务
Web服务启动/停止/失败等信息
对高危页面的访问，如接收用户输入的页面
查看负载均衡池中所有服务器的日志
不属于你的文件产生了错误代码 200
用户认证失败Failed user authentication	错误代码 401, 403
无效请求Invalid request	错误代码 400
内部服务器错误Internal server error	错误代码 500

要在短时间内快速完成这些工作，需要使用赛诺朗基全局事件管理系统，不仅可以实现审核的自动化，快速锁定问题点，更可实时监控，在事故发生前识别隐患，防止事故的发生