事件和日志分析

吉沃运营专员

一、我们使用的数据类型

这些是进入 SIEM 的日志信息的解析和规范化版本，能够搜索特定字段中的数据，创建跨日志源映射的用例，并提供警报中显示的详细信息级别。事件数据 - 这是警报背后的数据。这应该是在报告日志文件中找到的所有可用详细信息，标准化/转换为标准格式。这种规范化是关键，因为它允许你的搜索跨多种日志类型工作。通常，如果使用 SOAR 或 SIEM，将处理事件数据。在调查事件、警报或事件时，查看三个级别的数据：

• 警报数据 - 这些本质上是在你的数据中进行的搜索以查找特定匹配项。如果像大多数安全分析师一样在警报队列中工作。警报应会向你显示搜索逻辑以及搜索中匹配的数据点；
• 事件数据 - 这些是你的搜索和用例使用的事件日志，它们通常被标准化以供 SIEM 处理、解析，以便知道需要哪些字段，并可能进行过滤以限制可能相关的数据范围；
• 日志数据 - 这是原始的、未经编辑的、未经规范化的数据，在被另一个工具处理之前。 通常如果使用的是 EDR 平台、应用程序日志或系统日志，这些将为你提供原始日志数据；
  

警报数据和事件数据可能会根据使用的平台而变化，日志数据和格式将特定于正在生成的日志类型。

安全分析师通常会处理警报/事件数据，然后在需要进一步调查时转向日志数据，威胁猎手和取证调查人员通常会使用原始日志数据来获取详细信息。

二、了解日志结果

日志格式将根据日志、日志源、应用程序和制造商而改变。大多数信息都非常密集，如果没有任何参考，可能很难解析。以下是一些备忘单和工具输出的集合，可以帮助理解处理的一些日志类型以及调查的一部分。

• Tool Analysis Result Sheet - JP-CERT 收集的大量工具
• Cheat-Sheets — Malware Archaeology - 收集各种 Windows 日志类型的日志备忘单
• Strontic xCyclopedia - 可执行文件、dll、脚本，文件路径的百科全书，包含大量元数据、文件哈希、信誉分数、句柄等等
• Winbindex - 具有文件哈希、大小、创建它的更新等的 Windows 二进制文件索引，非常适合了解文件的更多信息
• Echotrail.io - 一个超级方便的工具，可以将 windows 文件映射到哈希、父/子进程等等。非常适合确定文件是否真的是 Windows 文件，或者是否以应有的方式运行
• https://filesec.io/ - 及时了解攻击者使用的最新文件扩展名
• Linux Logs Explained - Linux 日志文件的完整概述 - Plesk - Linux 创建的各种日志的文件和路径的细分
• Windows Security Log Encyclopedia - Windows 事件 ID 说明
• Windows Security Identifiers - 描述安全标识符及其在 Windows 操作系统中与帐户和组有关的工作方式
• Microsoft Defender AV event IDs and error codes | Microsoft Docs - 了解 Defender AV 事件代码和 Defender 日志
• Sysmon - Windows Sysinternals | Microsoft Docs - sysmon 日志记录和报告事件的细分
• What are Azure Active Directory reports? | Microsoft Docs  - 了解 Azure AD 审核日志
• Sign-in log schema in Azure Monitor | Microsoft Docs - 了解 Azure 登录日志
• Detailed properties in the audit log - Microsoft 365 Compliance | Microsoft Docs - O365 日志分解
• Understanding DHCP Server Log File Format - DHCP 日志分解
• The Importance of DNS Logging in Enterprise Security - DNS 日志字段和分析
• Proxy server logs for incident response - Web 代理日志细分
• Zeek and Windows Logs
• Wireshark's MAC address OUI manufacturer lookup
• https://malapi.io/ - 可能用于恶意活动的命令的备忘单
• BTFM: Log Auditing - pg. 51
• Crafting the InfoSec Playbook: Logging Requirements - pg.48
• Cyber Operations: Logging - pg. 455