5个最好用的开源日志分析工具
监控网络活动既重要又繁琐,以下这些工具可以使它更容易。 监控网络活动是一项繁琐的工作,但有充分的理由这样做。例如,它允许你查找和调查工作站和连接到网络的设备及服务器上的可疑登录,同时确定管理员滥用了什么。你还可以跟踪软件安装和数据传输,以实时识别潜在问题,而不是在损坏发生后才进行跟踪。 这些日志还有...
- 400阅读
- 414阅读
华为USG6000防火墙日志清理
一、需求 升级USG6320防火墙系统版本,上传新的IOS时提示没有足够的存储空间。新系统bin文件大小196M,防火墙存储空间580M,当前系统bin文件大小178M,存储空间足够存储2个系统版本的bin文件,所以需要释放空间来完成系统升级,可以通过清理日志文件释放存储空间。二、日志清理 1...
- 251阅读
浅谈数据分类分级的挑战和实践建议|网安创见
数据分类分级是数据使用管理和安全防护的基础,为数据尤其是重要数据制定分类分级制度并依规管理,是实现数据安全目标的重要工作。 数据分类分级制度是《数据安全法》第三章“数据安全制度”中要求的首条制度。该条中明确提出“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破...
- 412阅读
Wazuh--一个完善的开源EDR产品
1. 简介 Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配...
- 277阅读
HFish —— 安全、简单、有效的蜜罐平台
什么是蜜罐 蜜罐技术本质上是一种对攻击方进 欺骗的技术,通过布置一些作为诱饵的主机、网络服务以及操作系统等,诱使攻击方对它们实施攻击,从而可以捕获攻击行为进行分析、溯源、反制等操作。 了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来...
- 265阅读
如何搭建一套自己的蜜罐系统
所谓的“蜜罐”,就是专门部署一套易被攻击的系统,目标是记录所有攻击者的活动、研究他们的行为、记录他们的IP地址、跟踪他们的位置,幸运的话,还能收集到O-day漏洞。“蜜罐”系统大多会被设计成一种向攻击者提供任何服务的服务器,从ssh到telnet,开放一些众所周知的可被利用的端口,如22, 23, ...
- 183阅读
HoneyDrive – 蜜罐Linux发行版
HoneyDrive是一款基于Xubuntu的开源和首选蜜罐捆绑Linux操作系统。它是安装了Xubuntu Desktop 12.04.4 LTS版本的虚拟硬盘驱动器(VMDK格式)中的预配置蜜罐系统。 它包含超过10个预安装和预配置的蜜罐软件包,如Kippo SSH honeypot,Dion...
- 113阅读
Kippo蜜罐的部署、诱捕节点的搭建以及自动告警
Kippo是一个中等交互的SSH蜜罐,提供了一个可供攻击者操作的shell,攻击者可以通过SSH登录蜜罐,并做一些常见的命令操作。 当攻击者拿下一台服务器的权限后,很可能会进行小范围的端口探测或者批量的端口扫描,以便横向扩展,获取更多服务器的控制权,因此部署内网SSH蜜罐,把攻击者引诱到蜜罐里来,触...
- 498阅读
6大开源SIEM工具,安全信息和事件管理的“利器”
为了保护IT环境免受网络攻击并遵守严格的合规标准,安全信息和事件管理(SIEM)系统正在成为越来越多企业实施的安全范例的基石。 有专门的平台提供一体化SIEM解决方案,如LogRhythm,QRadar和ArcSight。这些解决方案当然价格昂贵,特别是在长期和大型企业中,因此越来越多的企业正在寻...
- 133阅读
开源安全平台---SELKS实战
(大家在进行SELKS实战之前必须具备Elastic Stack的基础知识) 1.什么是SELKS ? SELKS是Stamus Networks公司所开发的一个开源ELK项目,社区版是在GPL v3许可下发布,目的是实现一个开箱即用的IDS系统。社区版SELKS包括以下组件:字母缩写 组件...
- 191阅读
几款开源NTA/IPS/NDR工具的简单比较
笔者目前所在的公司,办公网用户端有安装桌管软件,IDC服务器有部署某安全初创公司的EDR产品,综合来看在终端这层做得还算到位,能满足目前业务体量下的安全需求。但是在网络这层,却一直是有缺失的。除了SNMP监控,就几乎没有其他的网络监控工具了。以往出现突发事件,还需要在入口处部署一台机器临时抓包。效率...
- 226阅读
ELSA企业日志归档查询实战
ELSA(全称:Enterprise Log Search and Archive)是一款基于Syslog-ng(新一代日志收集器,目前多数Linux发行版都不带此工具)、MySQL的开源企业日志归档查询工具,由于它和Sphinx的完美搭配,支持全文索引,可以像搜索Web一样搜索上亿条日志中的任意字...
- 156阅读
200家企业遭遇REvil勒索软件的MSP供应链攻击
周四下午开始,REvil 勒索软件团伙(又名 Sodinokibi)似乎又盯上了拥有数千名客户的托管服务提供商(MSPs)。作为 Kaseya VSA 供应链攻击的一部分,目前已知有 8 个大型的 MSP 遭到了攻击。据悉,Kaseya VSA 是一个基于云的 MSP 平台,允许提供商为客户执行补丁...
- 160阅读
等级保护2.0下医院网络安全体系的建设与探索
分析等级保护2.0标准的变化,探索等保2.0时代三级医院网络安全建设的方向,特别是确保新冠肺炎疫情期间医院网络安全。对2019年新标准《网络安全等级保护基本要求》进行分析,同时结合三级医院网络安全三级等级保护工作的实践,探索2.0标准下医院网络安全体系建设重点和方向。2.0标准适应了时代的需求,要...
- 133阅读
等保1.0和2.0相关标准及内容变化
等级保护1.0标准体系 2007年,《信息安全等级保护管理办法》(公通字[2007]43号)文件的正式发布,标志着等级保护1.0的正式启动。等级保护1.0规定了等级保护需要完成的“规定动作”,即定级备案、建设整改、等级测评和监督检查,为了指导用户完成等级保护的“规定动作”,在2008年至2012年期...
- 69阅读
数字化时代下的数据治理与数据安全治理
近年来全球各行各业都在积极探索和开展数字化转型与建设,期望通过数字化技术来支撑业务的长期、持续增长。那么如何做好数字化转型呢?华为在其数字化转型实践《华为数据之道》一书中表明,数字化转型要抓住数据治理这个“牛鼻子”,而且不仅要强调技术的支撑,还要强调业务价值的发挥,才能为数字化转型的成功打下良好基础...
- 87阅读
安全研究人员发现恶意软件利用一个从未见过的macOS漏洞发动攻击
上个月,安全研究人员透露,一个臭名昭著的恶意软件家族利用了一个从未见过的macOS漏洞。该漏洞让这些恶意软件绕过macOS安全防御系统,所以它们的运行不受阻碍。有迹象表明,macOS在未来可能再次成为目标。安全公司Jamf声称,它已经发现了一个漏洞存在据,该漏洞允许XCSSET恶意软件在未经同意...
- 433阅读
关于用友NC BeanShell存在远程代码执行漏洞的安全公告
安全公告编号:CNTA-2021-0021 2021年4月12日,国家信息安全漏洞共享平台(CNVD)收录了用友NC BeanShell远程代码执行漏洞(CNVD-2021-30167)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞利用细节已公开,用友公司已发布版本补丁完成修复,建...
- 174阅读
建立监管态势感知体系 提升网络安全监管能力
一、体系建设背景 随着信息技术的迅猛发展和互联网普及程度的不断提升,传统网络治理模式和手段面临挑战,需要不断创新治理理念、加强网络综合治理。当今时代,网络综合治理已成为国家和社会治理面临的一个重大课题。党的十九届四中全会《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若...
- 104阅读
网络安全态势感知之智能态势预测
要想真正实现主动防御的思想,其中最重要的一环就是要加入安全预警技术,即根据当下已检测到的报警信息预测未来即将发生的攻击行为,真正建立动态的响应机制,以检测、预测、响应、防护为组成过程,为网络系统的安全提供实时、动态、快速响应且主动的安全屏障。态势的预测是指根据态势的历史信息和当前状态对网络未来一段...
