背景描述
W3A SOC早期的日志审计是基于Perl写的脚本实现tail -f 类似的功能来实现日志的采集和上报,完整的依赖perl脚本的能力,这个得感谢@McShell当时跟他一起合作协同做的一个版本,后来我们奔现了,他成了我的同事(在三七互娱时)也是我一直以来特别要好的兄弟,后来现在去了腾讯。
早期的版本相对来讲更多偏DEMO,不具备生产价值,但是却好多人用,普遍的场景是:
- 大学生毕业,需要毕业设计,这个时候日志审计就是最热的毕设选科,所以用的人特别多。
- 有些小公司的业务,需要有日志审计的能力,毕竟要过等保,然后想不花钱能解决问题,这个时候用它正合适。
- 长期有日志审计需要,ELK只能记录日志展示,做些正向分析、承载,而攻击行为,识别有困难,所以就用这个识别攻击行为,好知道哪被攻击。
- 早期有些定制化的客户,如机顶盒、广场小型机、广告公司,这些小型客户,他们量不大,都是开源的官网如DeDeCMS、WP类的应用做二开,怕被人攻击不知道,用来发现和审计攻击行为,好做些升级和优化。
规则管理
进来之后,点击「左侧」日志监控 => 规则管理,即可看到默认的规则,默认的规则一共写了11条,能够具备初步的能力:
- 弱口令登录登录的检测识别。
- SQL注入
- XSS跨站脚本攻击
- LFI/RFI文件包含
- 命令执行
- 后门webshell
- 部分扫描特征
DEMO
写的规则都是泛匹配规则,如需深入,请自行编写合适的规则策略(基于Golang的regexp进行开发),元豚科技也可以辅助定制化开发规则,也可以购买商业的规则库,按需使用即可。
