安全领域的日志管理与分析,对菜鸟而言,告诉你安全领域的数据分析长啥样,虽然没有深度但有广度;对老鸟而言,书中那些规范和经验之谈在菜鸟看起来有些干巴巴,但对实战中受伤过的却能起到醍醐灌顶的作用。
喜欢
第六章隐蔽日志-以隐蔽方式采集日志
第九章过滤、规范化和关联(非常喜欢这章)
第十章 统计分析-喜欢如何设置基线
第十五章 日志分析和收集工具-工具大放送
第十六章 供程序员使用的日志
第二十一章 云日志— 日志分析产品化(非常喜欢这章)
读书笔记如下
https://app.yinxiang.com/l/AAKcXDYtavVAl7FsJjpLisYn5EhP3GYIOOs
第1章 木材树木森林
日志系统背景知识
第2章日志是什么
日志要素:
what 发生了啥
when 什么时候发生的
where 哪台主机,哪台文件系统,哪个网络接口
who
where 参与者来源
第3章日志数据来源
主机日志
网络日志
安全主机日志
syslog snmp windows事件日志
第4章 日志存储技术
文本/二进制/压缩文件
日志检索和存档
第5章 syslog-ng案例分析
第6章隐蔽日志
IDS/Honeypot
日志采集工具:以隐蔽方式采集日志
plog http://www.ranum.com/security/computer_security/code/ 嗅探syslog消息流量并转发到/dev/log
passlog http://freecode.com/projects/passlogd
http://www.honeynet.org http://www.honeynet.org/papers/sebek
第7章 分析日志的目标、规划和准备
第8章 简单的分析技术
/var/log/messages
关键日志立即处理
非关键日志提取摘要、趋势、关联(事件行为关联起来,e.g.异常时间点,登陆服务器,数据库下载)、挖掘
第9章 过滤、规范化和关联
原始日志数据 ——过滤处理--》规范化日志数据 ---关联分析---》(1)发送给分析人员(2)警报 (3)电子
| 邮件(4)发送到长期存储数据库
|
|
|--》未过滤日志数据--放入例外库
关键步骤:
过滤filtering:知道需要保留哪些日志
规范化normalization:转化为通用格式,记录关键信息(日志五要素)
关联correlation:单独不重要的事件关联起来分析
如何进行关联:
1. 规则关联
If the system sees an EVENT E1 where E1.eventType=portscan
followed by
an event E2 where E2.srcip=E1.srcip and E2.dstip = E1.dstip and
E2.eventType = fw.reject then
doSomething
2. 漏洞关联:将漏洞扫描数据和实时事件数据结合起来,以便帮助减少假阳性(