首页 > 关于爱数 > 爱数新闻
【AnyRobot】Linux登录行为审计最佳实践 发布时间:2018-05-04

背景描述

       当前企业在虚拟化、云计算、大数据技术驱动下,越来越多的服务器被提供使用,IT人员对于­­­­服务器的管理受限于专业化平台和个人精力,很多服务器的安全审计形同虚设。所以经常会听到某某的服务器被黑,成为肉鸡的新闻,尝试登录系统是黑客们侵入的第一步,对于信息安全部门来讲,操作系统的用户登录行为审计非常必要,AnyRobot作为一款基于大数据技术的数据分析产品,对Linux系统提供完善的审计解决方案。

场景介绍

       从安全角度分析,登录行为审计不仅仅是用户登录的动作需要审计,还要对于已经登录进入系统的用户的行为动作进行审计,它执行了什么命令,是否属于敏感的动作,这些统计出来,让管理者能直观的看到平台的登录状态。另外可以对一些明确的非受信任的IP、用户等做行为预警,如果登录系统的地址不是非受信任的列表内的,立即给管理员发告警信息。

这两类数据源用来做安全分析的同时,也被保存在AnyRobot平台上,还可以做溯源取证。

日志采集

Linux操作系统的用户登录日志默认被记录在/var/log/secure*文件中,Linux的用户(root账户)操作命令日志记录在/root/.bash_history中。

AnyRobot通过Filebeat代理客户端或Rsyslog协议将两类日志文件数据采集到AnyRobot中。

日志解析

访问日志样例:

Mar 30 17:57:05 anyrobot sshd[6906]: Accepted password for root from 192.168.35.110 port 51145 ssh2

解析出日志文件的关键字段,例如时间、主机名、进程名、登录用户、登录源IP、登录状态等。


操作命名日志样例:

#1522130204telnet 192.168.84.241 20019

解析后效果如下:

        

日志分析

账号计数+登录用户名


告知用户有哪几个账户登录或尝试登录过这个系统。用户可以看出是否有未关注到的账户登录。

登录源IP计数

      

对于重要系统一般都只允许部分受信任的地址访问,可以通过登录的IP数量来判定系统是否被非受信任的IP访问过。

用户登录趋势

        

将登录成功和登录失败的行为直观展示出来,可以判端是否有攻击行为、是否有非受信任的时间段访问等。

登录IP排序

        

结合受信任的IP列表,如果是攻击,可以判断源ip是什么;如果不是攻击,有哪些非受信任的地址登录,用于溯源取证。

Linux命令列表

将所有登录过该系统的账户执行的命令都统计出来,可以作为溯源取证。

敏感动作命令

        

将一些容易引起安全风险的操作统计出来,例如强制杀进程、修改密码、异常关机、创建账户等动作。让管理员重视系统的安全。

Linux的进程名

        

将系统的进程展示出来,如果有一些敏感的进程,例如susudo等切换账户的行为,可以联想到是否有影子账户被创建使用。

Linux登录日志列表

    

列出详细的登录行为日志,通过全局或者点选某类的事件可以查看登录的详细日志信息。

仪表盘展示

       结合以上日志的分析,可以自定义一个仪表盘,对Linux的用户登录行为进行审计,如下是一个仪表盘模板,可供参考使用。

        

异常行为预警

       对于系统的非受信任IP登录,用户可以做安全预警,例如:某平台只允许某一个跳板机可以登录,其他IP登录均视为非法,告警配置方法如下:

       1、搜索页面写入筛选条件:_exists_:登录成功信息 AND NOT 登录源IP地址:”10.10.1.29”

        

       2、在告警页面配置告警条件:如果这样的事件在一分钟内发生次数大于0就给管理员邮箱it@domain.com发告警信息。

      

       3、测试有非10.10.1.29IP登录成功,告警邮件截图:

        

场景优势

       AnyRobot是一款基于大数据技术的数据分析产品,从数据分析的角度对Linux系统的用户登录行为进行审计,可以从用户登录和登录后的操作命令两个维度进行统计分析,同时可以根据统计的结果进行安全告警。对比原始监控软件,不仅可以提示安全风险,还保留所有的行为日志以供追踪查询。在引入机器学习算法后,可以结合以往历史数据进行异常行为建模,AnyRobot可以采集多个平台的日志,与Linux系统进行日志关联分析,例如根据访问源IP地址,可以分析出该IP地址在整个网络数据中心内的行为动作,更全面的掌握整个网络环境的安全动态。让用户的IT管理实现安全风险主动发现、异常行为快速定位、责任追踪有依有据。