安全日志分析

Question

我给它提供了什么工具(比如Apache服务器)，并分析它是否有任何攻击？我不想用暹粒。

Answer 1

使用允许SIEM工程(例如Splunk )和安全自动化(例如Splunk )的全周期平台是有好处的，但这些也可以使用开源平台(例如，用于暹粒工程的黑尔克和用于安全自动化的龙门甲板 )来执行。

ATT&CK检测有许多优点，这可能与平台有关.例如，Microsoft和Windows都很不错，但在西斯蒙或macOS上却没有用。奥斯查询对所有3种功能都有很多配置，但ATT和CK的覆盖范围倾向于仅限于窗口也有。审计%d仅限于Linux.xnumon是macOS专用的，但那里有发生了很多事，甚至这个论坛已经涵盖了。

听起来，您在这个问题中要求的不仅是操作系统依赖的，还可能是Web服务器，甚至是应用程序依赖的。然而，有一些标准，如NCSA通用服务器日志格式，和松散的指导方针。

之后，你没什么可以做的了，但是我已经看到了几篇文章的封面工具，比如apache。对于Apache服务器，访问日志文件(S)通常在/var/log/apache2/access.log中，但可以在任何地方(甚至配置可以在任何地方)。对于Windows服务器，日志文件通常在\WINDOWS\system32\LogFiles\W3SVC1中，但也可以在其他地方配置。大多数web应用程序的数据库和其他集成点在默认情况下不进行日志记录，或者它们的日志出于安全目的没有兴趣(但情况并不总是如此)。

如果您可以安装工具或运行Python脚本等，那么您可能会有一个好的开始。如果没有，那么您可能可以将日志带到其他地方，但是您最终会回到原来的“不使用Splunk”问题上，这个问题首先给您带来了麻烦。微软有一个更正式的工具，用于web服务器/ web应用程序日志分析，名为LogParser，它可以做一些很酷的事情，例如：

logparser.exe -i:iisw3c -o:Datagrid -rtp:100“从C:wwwlogsW3SVCmyserver*.log选择日期、时间、c-ip、cs-uri-茎、cs-uri-查询、时间占用、sc-状态，其中cs-uri-查询为'%UNION%'”

Apache、Nginx和IIS web服务器倾向于只记录HTTP请求及其相关的服务器响应代码。如果您想要更多，那么您将需要转向额外的螺栓实用程序和/或配置。

例如，对于Apache，mod_dumpio从2009年起就已经出现了，后来添加了mod_security和其他mod_security，以支持HTTP和冗长的服务器响应集合。

可以为Nginx服务器配置proxy_pass或fastcgi_pass行，以便利用$request_body变量。

可以将用于IIS的高级测井扩展添加到Microsoft以实现相同或更好的目标。