爱数新闻

背景描述

       当前企业在虚拟化、云计算、大数据技术驱动下，越来越多的服务器被提供使用，IT人员对于­­­­服务器的管理受限于专业化平台和个人精力，很多服务器的安全审计形同虚设。所以经常会听到某某的服务器被黑，成为肉鸡的新闻，尝试登录系统是黑客们侵入的第一步，对于信息安全部门来讲，操作系统的用户登录行为审计非常必要，AnyRobot作为一款基于大数据技术的数据分析产品，对Linux系统提供完善的审计解决方案。

场景介绍

       从安全角度分析，登录行为审计不仅仅是用户登录的动作需要审计，还要对于已经登录进入系统的用户的行为动作进行审计，它执行了什么命令，是否属于敏感的动作，这些统计出来，让管理者能直观的看到平台的登录状态。另外可以对一些明确的非受信任的IP、用户等做行为预警，如果登录系统的地址不是非受信任的列表内的，立即给管理员发告警信息。

这两类数据源用来做安全分析的同时，也被保存在AnyRobot平台上，还可以做溯源取证。

日志采集

Linux操作系统的用户登录日志默认被记录在/var/log/secure*文件中，Linux的用户（root账户）操作命令日志记录在/root/.bash_history中。

AnyRobot通过Filebeat代理客户端或Rsyslog协议将两类日志文件数据采集到AnyRobot中。

日志解析

访问日志样例：

Mar 30 17:57:05 anyrobot sshd[6906]: Accepted password for root from 192.168.35.110 port 51145 ssh2

解析出日志文件的关键字段，例如时间、主机名、进程名、登录用户、登录源IP、登录状态等。

操作命名日志样例：

#1522130204telnet 192.168.84.241 20019

解析后效果如下：

日志分析

l  账号计数+登录用户名

告知用户有哪几个账户登录或尝试登录过这个系统。用户可以看出是否有未关注到的账户登录。

l  登录源IP计数

对于重要系统一般都只允许部分受信任的地址访问，可以通过登录的IP数量来判定系统是否被非受信任的IP访问过。

l  用户登录趋势

将登录成功和登录失败的行为直观展示出来，可以判端是否有攻击行为、是否有非受信任的时间段访问等。

l  登录IP排序

结合受信任的IP列表，如果是攻击，可以判断源ip是什么；如果不是攻击，有哪些非受信任的地址登录，用于溯源取证。

l  Linux命令列表

将所有登录过该系统的账户执行的命令都统计出来，可以作为溯源取证。

l  敏感动作命令

将一些容易引起安全风险的操作统计出来，例如强制杀进程、修改密码、异常关机、创建账户等动作。让管理员重视系统的安全。

l  Linux的进程名

将系统的进程展示出来，如果有一些敏感的进程，例如su、sudo等切换账户的行为，可以联想到是否有影子账户被创建使用。

l  Linux登录日志列表

列出详细的登录行为日志，通过全局或者点选某类的事件可以查看登录的详细日志信息。

仪表盘展示

       结合以上日志的分析，可以自定义一个仪表盘，对Linux的用户登录行为进行审计，如下是一个仪表盘模板，可供参考使用。

异常行为预警

       对于系统的非受信任IP登录，用户可以做安全预警，例如：某平台只允许某一个跳板机可以登录，其他IP登录均视为非法，告警配置方法如下：

       1、搜索页面写入筛选条件：_exists_:登录成功信息 AND NOT 登录源IP地址:”10.10.1.29”

       2、在告警页面配置告警条件：如果这样的事件在一分钟内发生次数大于0，就给管理员邮箱it@domain.com发告警信息。

       3、测试有非10.10.1.29的IP登录成功，告警邮件截图：

场景优势

       AnyRobot是一款基于大数据技术的数据分析产品，从数据分析的角度对Linux系统的用户登录行为进行审计，可以从用户登录和登录后的操作命令两个维度进行统计分析，同时可以根据统计的结果进行安全告警。对比原始监控软件，不仅可以提示安全风险，还保留所有的行为日志以供追踪查询。在引入机器学习算法后，可以结合以往历史数据进行异常行为建模，AnyRobot可以采集多个平台的日志，与Linux系统进行日志关联分析，例如根据访问源IP地址，可以分析出该IP地址在整个网络数据中心内的行为动作，更全面的掌握整个网络环境的安全动态。让用户的IT管理实现安全风险主动发现、异常行为快速定位、责任追踪有依有据。