浅聊虚假日志干扰SIEM平台安全监测机制
发布时间:2022-08-04 10:07:49 所属栏目:安全 来源:互联网
导读:为确保网络安全,减少攻击者入侵的可能性,组织机构中部署的安全信息和事件管理系统(SIEM)需要对进出网络的行为执行实时的日志收集、分析和预警处理,SIEM系统中会涉及到大量的日志收集设备。但也存在另外一种可能,攻击者可以对SIEM系统中的日志收集设备形
 为确保网络安全,减少攻击者入侵的可能性,组织机构中部署的安全信息和事件管理系统(SIEM)需要对进出网络的行为执行实时的日志收集、分析和预警处理,SIEM系统中会涉及到大量的日志收集设备。但也存在另外一种可能,攻击者可以对SIEM系统中的日志收集设备形成虚假日志,实现干扰SIEM的安全行为监测目的。本文就来探讨身处内网的攻击者如何对日志收集设备发起虚假日志攻击,文章仅为思路分享,不代表实战观点。 1. 理论思路 要对SIEM系统日志收集设备形成虚假日志,主要有两步: 发现目标日志收集设备的日志格式 按格式生成相应的虚假日志 前提条件:身处目标网络中的一台设备。可以点击Letsdefend.io的SIEM仿真实验室进行练手。 (1) 发现目标日志收集设备的日志格式 如果目标日志收集设备使用的是扩展的日志格式(LEEF),而我们向其发送了通用的事件格式(CEF),那就会出现解析问题。这里我们可以用以下两种方法判断目标监控设备的日志格式: (2) 生成虚假日志 根据上一阶段的分析,构造虚假日志发送给目标日志收集设备。 2. 实例测试 用以下简单的网络系统为例,网络架构中部署了一台针对客户端的日志收集设备,它是基于Splunk的日志系统,其收集的日志信息会传递给监测分析设备进行关联分析,并给出威胁报警。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号