热门关键字:
客户案例
当前位置 : 首页 > 客户案例

如何用日志数据关联分析发现并防御攻击事件日志易

来源:本站 作者: 时间:2019-05-16 02:27:55 点击:

  日志易的一大特点就是能够采集所有的机器数据,并可以自动从日志中提取关键字段,将非结构化日志转化为结构化数据,通过关联字段,使用 SPL (Search Processing Language)语言实现复杂关联运算,串联多环节日志数据,对不同系统业务的日志进行关联性分析,以达到精确告警的目的。

  今天就让我们来聊一聊日志关联分析功能,分享一下日志易在采集了安全类设备运行所产生的日志后,通过安全事件的关联分析,解决企业的两大核心难题,亦即发现攻击事件和防御正在进行的攻击。

  在企业部署了日志易产品后,由日志易统一采集和管理日志数据。通过分析各个安全设备上日志的记录,如时间、源地址、源端口、目的地址、目的端口、事件类型、URL 地址,Web shell 事件等,从 WAF/IDS 获取事件源IP,再使用该 IP 在应用日志上查询是否在上传页面 POST 过数据,并检查同一时间是否有主机 Webshell 告警事件发生。如果有告警事件发生,则确认为入侵事件,立即告警安全人员进行处理,避免产生严重后果。

  以上的理论描述也许有的小伙伴们会不太理解,下边通过两个场景实例来了解一下上述功能吧。某金融企业部署日志易产品后,其安全分析的场景如下:

  该金融企业将 WAF 和 DDoS 防御系统日志纳入日志易平台,某一时间点,日志易系统“疑似 CC 攻击告警”触发,引起值班人员关注。值班人员联系运维工程师,同时反馈应用系统业务人员。业务人员排查发现系统访问变慢,运维人员检测系统,发现连接数变多,系统资源消耗趋势逐步上升,最终确认应用系统正在遭受到 CC 攻击,及时执行应急预案将问题处理。

  该金融企业的业务网站存在 SQL 注入漏洞,黑客发现并利用了应用服务器 SQL注入 漏洞进行拖库,触发了 IDS/WAF 日志事件。同时,数据库审计系统将检测到的应用 WAF SQL 注入查询语句执行事件记录到日志。日志易系统通过关联分析 WAF/IDS 告警日志和数据库审计系统日志告警,确认成功 SQL 注入攻击行为触发告警,辅助运维人员解决攻击事件。

  通过上面两个小案例,小伙伴们是不是对日志易的安全分析场景有了更加深入的了解呢?在日后,小编会发布更多日志易产品的应用场景,请大家多多关注吧!如果你有想看的场景,也欢迎给我留言!返回搜狐,查看更多

最新评论共有 0 位网友发表了评论
推荐文章