Введение
Graylog – это ведущее решение для централизованного управления логами, которое позволяет командам безопасности регистрировать, хранить и анализировать огромные объемы данных.
Одной из областей, в которых Graylog особенно ярко проявляется, является скорость анализа.
В этой статье мы покажем, как можно использовать Graylog для анализа данных в гипотетическом сценарии поиска угроз.
Обзор
Мы настроили Graylog ,asticsearch и mongo-db на виртуальной машине Ubuntu 18.04.
Мы не хотим обсуждать начальную настройку; однако, если это представляет интерес, процедуру можно найти здесь.
В нашем сценарии внутренний сотрудник атакует один из наших производственных серверов, чтобы получить несанкционированный доступ с помощью брутфорса наших служб SSH и FTP.
Используя эту предпосылку, мы обсудим, как использовать хранилища Graylog в версии с открытым исходным кодом во время анализа.
Сценарий атаки
Недавно мы обнаружили попытку взлома одного из производственных серверов нашей компании.
Без ведома злоумышленников наш экземпляр Graylog был установлен на том же сервере, что позволило нам мониторить их попытки несанкционированного доступа.
Было обнаружено, что на нашем сервере было проведено множество атак брутфорса на службы FTP и SSH, и им удалось получить доступ к нашим серверам.
Ранее мы настроили сервер для отправки журналов в Graylog через rsyslog.
См. также про rsyslog:
- Анализ логов Linux
- ? Настройка NXLog для пересылки системных журналов на Rsyslog Server в Ubuntu 18.04
- ? Как отправить выбранные события аудита в определенные файлы или хосты с помощью rsyslog & auditd
- Настройка Rsyslog на Solaris 11.4 для отправки журналов на удаленный сервер журналов
- Как запустить rsyslog от имени пользователя без полномочий root в CentOS / RHEL 7
- Как настроить формат логов с помощью rsyslog в CentOS / RHEL 5,6,7
- Централизованный мониторинг сервера RSYSLOG
Анализ
Когда мы вошли на наш рабочий сервер и получили доступ к нашему веб-представлению Graylog, мы обнаружили, что появились некоторые новые логи и решили смотреть на них.у.
Мы сделали это, нажав «Show received messages» в веб-интерфейсе, как показано ниже:
Мы обнаружили несколько попыток обойти вход в FTP и SSH.
Согласно журналам, злоумышленник из на нашей сети; поэтому мы начали обрабатывать это как внутреннюю атаку.
Если бы мы обнаружили множественные атаки на службы, мы бы просто использовали функцию поиска Graylog, как показано здесь.
На приведенном ниже снимке экрана мы смогли идентифицировать удаленный атакующий хост и имена пользователей, которые были задействованы во время взлома.
Например, в строке номер четыре ниже показано имя пользователя с попыткой «administrator», а удаленный хост (источник атаки) – «192.168.100.2».
Аналогичная вещь была также показана для службы SSH:
Удаленный хост регистрируется как и служба, в которую злоумышленник пытался войти.
Graylog настроен для каждого зарегистрированного предупреждения.
Например, журнал SSH показан ниже:
Мы можем увидеть больше информации об этом конкретном журнале.
Из приведенного выше видно, что попытка входа в систему не удалась, наряду с точной отметкой времени, когда это было отмечено.
Итак, мы обнаружили, что злоумышленник создал вредоносное задание cron для выполнения определенных временных порогов.
Ниже приведен файл журнала, созданный после выполнения задания cron.
Мы внимательно рассмотрели остальные журналы, щелкнув «application_name» слева от веб-представления Graylog и выбрав «Quick values». :
Это позволило нам увидеть сводку журналов на графике, как показано ниже:
Итак, мы обнаружили, что злоумышленнику, так или иначе, удалось получить доступ к другому серверу.
Graylog позволил нам определить время, когда мы получили наибольшее количество атак, с помощью графика времени, как показано ниже.
В некоторых случаях при настройке у вас могут быть показаны атакующие IP-адреса из различных глобальных источников по всему миру.
Graylog позволяет вам настроить геолокацию, где вы можете построить карту, которую вы даже можете использовать в своих отчетах.
Есть различные представления, из которых мы могли выбрать.
Выше гистограмма, и ниже линейный график, показывающий обзор наших логов со временем.
Мы смогли классифицировать все эти атаки по времени в более подробном виде, как показано ниже.
Мы обнаружили, что хотя выполнение этих атак заняло менее часа, возможность атакующего автоматизировали инструменты, а также выполняли атаку вручную.
Мы создали инструментальную панель в Graylog, чтобы позволить нам легче отслеживать время атак.
Мы решили добавить графики меток времени приложения и имени приложения на панель инструментов.
Это показано ниже.
Мы смогли увидеть, как это будет выглядеть.
Graylog также поддерживает потоки, которые представляют собой оповещения в реальном времени, которые более надежны, чем обычные поиски, которые мы выполняли.
Ниже приводится краткое описание сценария атаки и упражнения по поиску угроз:
| фаза | индикаторы |
|---|---|
| разведка | Несанкционированный доступ из файлов журнала |
| вооружение | N/A |
| доставка | N/A |
| эксплуатация | Незащищенный сервер SSH (слабые учетные данные) |
| установка | Вредоносная задача cron |
| C2 | 192.168.100.2 (это была атакующая машина) |
| Действия на цель | Несанкционированный доступ и сканирование внутренней сети |
Заключение
Graylog – одно из самых распространенных решений управления журналами, доступных на данный момент.
Инструмент обладает широким спектром возможностей по управлению и оценке журналов, и компания разработчик гарантирует, что пользователи могут значительно расширить его функциональность, добавляя плагины и получая решения общих проблем.
Возможность также интеграции с такими инструментами, как брандмауэры, SIEMS и IDS, также обеспечивает оптимальную производительность групп по поиску угроз.
