<<企業安全建設指南>> 讀書筆記
開源的HIDS OSSEC:
主要功能: 日志分析\文件\注冊表完整性檢測\rootkit檢測\實時報警\動態響應
自帶一些規則檢測:ssh破解\windows登錄失敗\賬號添加修改
檢測rootkit采用netstat
分析Windows 安全日志 :sysmon,適用於windows
采用sysmon + evtsys收集日志匯總到SOC
常見的webshell檢測思路:
文件內容掃描:查看高危函數
結合文件變化及屬性,文件夾其他文件
網絡流量:主動外連檢測
腳本執行的底層函數
優秀的開源蜜罐 :
honeyd
優秀的開源IDS :
SNORT BRO
服務器安全加固:
Windows 服務器:
安裝磁盤分區選用NTFS
禁用TCP/IP上的NetBIOS
服務器加入域,便於統一管理
安全策略需要包括賬戶策略(密碼策略 賬戶鎖定策略 kerberos策略)以及本地策略(審核策略 用戶權限分配 安全選項)等
事件日志,需要統一管理,修改默認存儲大小,以及覆寫模式
系統服務配置, 禁用不必要的服務(如Alexer, Browser, Messenger等)
開啟高級審核策略, 對賬戶登錄 注銷 賬號管理 策略更改特權使用等進行配置
關閉自動播放, 啟用密碼保護的屏幕保護, 關閉自動產生互聯網流量的功能, 安裝防病毒等安全軟件
Linux服務器:
物理安全相關配置, 禁用USB設備, 添加GRUB密碼, 禁止快捷鍵重啟等
文件系統掛載設備, 對/var /tmp分區添加 nodev和nosuid選項, 對/home分區添加nosuid選項
對一些系統文件設置權限, 如 /etc/crontab /etc/securetty /boot/grub/grub.conf /etc/inittab /etc/login.defs ...
關閉一些不必要的服務, 如cups postfix pcscd smartd alsasound iscsitarget smb acpid
開啟命令記錄時間戳, 並將一些與命令記錄相關的參數設為只讀
開啟日志及審計功能,配置監控規則, 將日志實時傳到SOC
口令策略配置, 包括復雜度 有效期 超時退出 密碼最大嘗試次數等
對SSHD進行安全配置(最大重試次數, 禁用Rhosts認證, 指定密碼類型, 指定MAC算法) 刪除RHOST相關文件
調整內核參數, 禁用LKM, 限制/dev/mem 開啟ALSR 禁用NAT
部分配置Windows與Linux相通,互相參照即可
Windows域控敏感事件:
安全日志:
1105 日志歸檔
1102 日志清除
賬戶管理
4720 賬戶創建
4722 賬戶啟用
4723 修改賬戶密碼
4724 重置賬戶密碼
4725 賬戶禁用
4726 賬戶刪除
4738 賬戶修改
4740 賬戶鎖定
4764 賬戶解鎖
4768 Kerberos驗證成功
4771 Kerberos驗證失敗
4781 賬戶改名
4794 重置AD恢復模式密碼
4741 計算機賬戶創建
4743 計算機賬戶刪除
審核策略:
4719 修改系統審核策略
賬戶登錄:
4624 賬戶登錄成功
4625 賬戶登錄失敗
4776 賬戶驗證成功
4777 賬戶驗證失敗
在一次對客戶的日志審查中發現大量高頻的4771事件,最后並未排查出具體原因?留待后續解決
域控被滲透后的響應:
重置krbtgt賬戶密碼
重置DSRM賬戶密碼
重置重要服務賬號密碼
檢查賬戶SIDHistory屬性
檢查組策略配置以及SYSVOl目錄權限
檢查AdminSDHolder相關安全賬號
BEST=>廢棄DC,同步數據