RouteToRoot/soc-lab-05-linux-log-analysis-security-monitoring

# SOC 实验 05 — Linux 日志分析与安全监控 ## 目录 1. [执行摘要](#executive-summary) 2. [实验目标](#lab-objectives) 3. [环境概述](#environment-overview) 4. [日志调查工作流](#log-investigation-workflow) 5. [日志分析](#log-analysis) 6. [检测工程见解](#detection-engineering-insights) 7. [证据](#evidence) 8. [结论](#conclusions) 9. [后续步骤](#next-steps) ## 执行摘要 本实验侧重于分析 Linux 身份验证和系统日志以检测可疑活动。 系统日志为用户活动、身份验证尝试和权限提升事件提供了关键的可见性。 通过调查身份验证日志，安全分析师可以识别暴力破解攻击、未经授权的访问尝试以及可疑的管理活动。 本实验演示了 SOC 分析师如何利用 Linux 日志数据来监控系统并检测潜在的安全事件。 ## 实验目标 - 调查 Linux 身份验证日志 - 识别成功和失败的登录尝试 - 检测可疑的身份验证活动 - 使用 `sudo` 分析权限提升 - 了解日志监控如何支持 SOC 检测工作流 ## 环境概述 **操作系统：** Ubuntu Linux 24.04 (VMware Workstation 虚拟机) **分析的日志** - `/var/log/auth.log` **使用的工具** - `grep` - `cat` - `less` - Linux 终端 ## 日志调查工作流 ### 1. 查看身份验证日志 身份验证日志记录登录尝试、SSH 访问和权限提升活动。 安全分析师定期审查这些日志，以识别可疑的身份验证行为。 **命令：** ``` sudo cat /var/log/auth.log ``` **解释** - `sudo` 允许访问受保护的系统日志 - `cat` 打印日志文件的内容 - `/var/log/auth.log` 包含身份验证事件，例如 SSH 登录尝试和 sudo 活动 此命令允许分析师查看系统上的原始身份验证活动。 ### 2. 检测失败的登录尝试 失败的身份验证尝试可能表明存在暴力破解攻击或未经授权的登录活动。 安全分析师搜索身份验证日志，以识别重复的登录失败和可疑的访问尝试。 **命令：** ``` grep "Failed password" /var/log/auth.log ``` **解释** - `grep` 搜索日志文件中的文本 - `"Failed password"` 标识不成功的 SSH 登录尝试 - `/var/log/auth.log` 包含与身份验证相关的事件 此命令可帮助分析师快速识别可能表明恶意活动的失败登录尝试。 ### 3. 识别成功的登录 当用户使用有效凭据登录系统时，会记录成功的身份验证事件。 安全分析师审查这些条目以确认合法访问并检测异常的登录活动。 **命令：** ``` grep "Accepted password" /var/log/auth.log ``` **解释** - `grep` 搜索日志文件中的文本 - `"Accepted password"` 标识成功的 SSH 登录事件 - `/var/log/auth.log` 记录系统上的身份验证活动 此命令允许分析师验证成功的登录事件并将其与其他安全活动相关联。 ### 4. 调查 Sudo 权限提升 当用户使用 `sudo` 以提升的权限执行命令时，就会发生权限提升事件。 监控这些事件有助于安全分析师检测未经授权的管理活动。 **命令：** ``` grep "sudo" /var/log/auth.log ``` **解释** - `grep` 搜索日志文件中的文本 - `"sudo"` 标识以提升的权限执行的命令 - `/var/log/auth.log` 记录权限提升事件 此命令可帮助分析师审查系统上执行的管理操作。 ## 日志分析 对 `/var/log/auth.log` 的调查揭示了几个重要的身份验证事件。 检测到用户 `fakeuser` 的多次失败 SSH 登录尝试。这些尝试源自 `127.0.0.1`，这表明登录尝试是在实验室模拟期间本地生成的。在现实环境中，来自外部 IP 地址的重复失败登录尝试可能表明存在暴力破解或凭据猜测攻击。 还记录了合法用户 `eric` 的成功 SSH 登录事件。这确认了有效的身份验证事件使用短语 **"Accepted password"** 进行记录，安全分析师可以搜索该短语以确认成功的身份验证。 此外，检测到 sudo 活动，显示用户 `eric` 正在以提升的权限执行命令。监控 sudo 使用情况非常重要，因为获得系统初始访问权限的攻击者经常尝试权限提升以获取管理控制权。 这些身份验证日志演示了 SOC 分析师如何在安全调查期间识别失败的登录尝试、合法访问和管理活动。 ## 检测工程见解 身份验证日志为用户活动和系统访问模式提供了有价值的可见性。安全分析师经常使用 `grep` 等日志查询来快速识别可疑的身份验证行为。 重复的失败登录尝试可能表明存在暴力破解攻击、密码喷射或试图获得未经授权访问的自动化扫描工具。监控来自同一 IP 地址的多次失败登录或针对多个用户账户的尝试等模式，有助于及早识别这些攻击。 还应监控成功登录事件是否存在异常，例如在不寻常的时间或从不熟悉的 IP 地址登录。分析师通常将成功登录事件与失败登录尝试相关联，以确定攻击者是否最终获得了访问权限。 Sudo 活动是另一个重要指标，因为攻陷用户账户的攻击者经常尝试权限提升以获得系统的管理控制权。 通过监控身份验证日志和权限提升事件，SOC 分析师可以检测未经授权的访问尝试、调查可疑活动并响应潜在的安全事件。 ## 证据 所有截图均存储在 `/screenshots` 目录中： - `auth-log-view.png` — 查看身份验证日志 - `failed-ssh-logins-clean.png` — 检测到失败的 SSH 登录尝试 - `successful-ssh-login-clean.png` — 成功的 SSH 身份验证事件 - `sudo-activity.png` — 使用 sudo 进行的权限提升活动 这些截图提供了本实验期间执行的身份验证日志调查的证据。     ## 结论 本实验演示了如何分析 Linux 身份验证日志以识别与安全相关的事件，例如失败的登录尝试、成功的身份验证和权限提升活动。 通过检查 `/var/log/auth.log`，我们能够检测到失败的 SSH 登录尝试，确认成功的用户身份验证，并观察使用 `sudo` 执行的管理操作。安全运营中心 (SOC) 分析师在调查可疑活动或响应安全警报时，通常会审查这些类型的事件。 了解如何快速搜索和解释身份验证日志是安全分析师的一项基本技能，因为这使他们能够检测未经授权的访问尝试、调查用户活动，并识别 Linux 系统上潜在的权限提升行为。 ## 后续步骤 继续培养 SOC 调查和检测技能： - **SOC 实验 06 — 检测端口扫描活动** - 使用 Nmap 等工具生成网络扫描活动 - 使用 Wireshark 捕获和分析扫描流量 - 识别攻击者常用的侦察模式 此进程从基于主机的监控扩展到基于网络的威胁检测。

标签：Auth.log, BurpSuite集成, CSV导出, Grep 命令, Linux 日志分析, PE 加载器, SSH 登录, Sudo 监控, T1078, T1110, Ubuntu Linux, 免杀技术, 内存分配, 协议分析, 安全运营中心 (SOC), 数字取证, 日志审查, 暴力破解检测, 权限提升, 系统日志, 红队行动, 网络安全实验, 自动化脚本, 身份验证日志