网络问题

网络问题,第1张

前面的见邮件:

——————————————————————————————

2、办公、教工网段用户反映上网速度较慢。学生线路普遍反映速度很慢,经过观测

,在上午11点前网速较好,之后至凌晨都较慢。

回答如下:

a)寻求ISP的帮助,在这个时段检查学校外出的流量,是否已经达到最高值。并分析流量的组成.

b)网关设备检查日志,有无攻击和内部下载。

C),这个时间段内部中心交换机日志和分支交换机日志。

最好分析是病毒原因,是ISP问题,还是防火墙得到攻击,还是内部有人恶意下载。

3、有些病毒爆发不能及时定位进行处理,给网络带来严重的问题。

内部的日志检查,和对交换机检查,并且做到VLAN之间的限制,同时将服务器和终端进行相应的补丁分发,比如WSUS系统。对交换机系统进行汇聚和中心相连的方式,当一台汇聚层出现问题,将断开与中心的联系,影响最小。此外,对网关处安装防毒网关也是减少风险的因素。

4、学院网络设备和服务器众多,根据网络运维的需要,经常需要批量地改变这些设

备的配置。

使用Adventnet等第三方面软件统一管理这些设备,达到统一控制目标。

一、用例总览

Wazuh通常用于满足合规要求(如PCI DSS或HIPAA)和配置标准(CIS强化指南)。它在IaaS (eg. Amazon AWS, Azure or Google cloud) 用户中也很流行,在运行的实例中部署基于主机的IDS可以与基础设施事件分析(直接从云提供商API提取)相结合。

以下是一些常见的用例:

(1)基于签名的日志分析

(2)文件完整性监测

(3)rootkit检测

(4)安全政策监控

二、基于签名的日志分析

自动日志分析和管理加速了威胁检测。在许多情况下,攻击证据可以在设备、系统和应用程序的日志中找到。Wazuh可以用于自动聚合和分析日志数据。

运行在监控主机上的Wazuh代理通常负责读取操作系统和应用程序日志消息,并将这些消息转发到分析发生的Wazuh服务器。当没有部署代理时,服务器还可以通过syslog从网络设备或应用程序接收数据。

Wazuh使用解码器识别日志消息的源应用程序,然后使用特定于应用程序的规则分析数据。下面是一个用于检测SSH身份验证失败事件的规则示例:

规则包括一个match字段,用于定义规则将要寻找的模式。它还有一个level字段,用于指定生成的警报优先级。

每当某个代理或通过syslog收集的事件与级别大于零的规则匹配时,管理器将生成一个警报。

下面是/var/ossec/logs/alerts/alerts.json中的一个例子:

一旦由管理器生成,警报就被发送到Elastic Stack组件,在该组件中,通过存储和索引地理位置信息丰富警报。然后,Kibana可以用来搜索、分析和可视化数据。如下界面显示的警告:

Wazuh提供了一个定期更新的默认规则集,为不同的应用程序提供了超过1600条规则。

三、文件完整性监控

当操作系统和应用程序文件被修改时,文件完整性监视(FIM)组件会检测并发出警报。此功能通常用于检测对敏感数据的访问或更改。如果您的服务器在PCI DSS的范围内,那么需求11.5说明您必须安装一个文件完整性监控解决方案才能通过您的审计。

下面是在更改受监视文件时生成警告的示例。元数据包括MD5和SHA1校验和、文件大小(更改之前和之后)、文件权限、文件所有者、内容更改以及进行这些更改的用户(who-data)。文件完整性监测

FIM仪表板提供了向下钻取功能,以查看触发警报的所有细节,可以在其中找到文件更改的良好摘要。

四、rootkit检测

Wazuh代理定期扫描监控系统,以在内核和用户级别检测rootkit。这类恶意软件通常替换或改变现有的操作系统组件,以改变系统的行为。rootkit可以隐藏其他进程、文件或网络连接,就像它自己一样。

Wazuh使用不同的检测机制来查找系统异常或已知的入侵。这是由Rootcheck组件定期完成的:

下面是发现隐藏进程时生成的警报示例。在本例中,受影响的系统正在运行Linux内核级rootkit(名为 Diamorphine):

五、安全策略监控

SCAP是企业级基础设施的标准化遵从性检查解决方案。它是由美国国家标准与技术研究所(NIST)维护的一套规范,旨在维护企业系统安全。

OpenSCAP是一种审计工具,它利用了可扩展配置检查表描述格式(XCCDF)。XCCDF是一种表示检查表内容和定义安全检查表的标准方法。它还与其他规范(如CPE、CVE、CCE和OVAL)相结合,创建可由经过scap验证的产品处理的scap表示的检查列表。

Wazuh代理在内部使用OpenSCAP来验证系统是否符合CIS强化标准。下面是一个SCAP规则示例,用于检查SSH守护进程是否配置为允许空密码:

SCAP检查定期运行(默认情况是一天一次),结果被设置到Wazuh服务器,在那里通过OpenSCAP解码器和规则进行处理。下面是一个警告的例子,当Linux审计策略(auditd)没有配置为监视用户操作时生成的警告:

此外,Wazuh WUI还可以用于可视化和分析策略监视扫描结果。例如,以下是使用服务器基线和PCI DSS v3预定义概要文件扫描CentOS系统时收集的数据的屏幕截图:


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/612716.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-07-13
下一篇2023-07-13

发表评论

登录后才能评论

评论列表(0条)

    保存