记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

一文读懂日志易SIEM安全大数据分析平台

1. 背景概述随着网络安全法、等级保护2.0的推广实施,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政府等重要行业和领域纷纷加强安全信息化建设,对云计算、大数据、物联网、移动互联和工业控制等信息系统做到全方面防护。但是,通过历年数次网络安全对抗演练,我们也发现了一些企业普遍存在的安全短板。
发布时间:2021-08-02 17:29 | 阅读:76508 | 评论:0 | 标签:SIEM 数据分析 日志易 大数据 安全 分析 日志

如何深度实现用户与实体行为分析

建设背景根据国外权威机构调查,企业85%的数据泄露是来于内部威胁,75%的内部威胁事件并未对外报告,55%的企业认为内部威胁的危害要远远大于外部威胁。某国内大型集团企业在一次风险评估后的统计中发现, 53%的内部风险会利用到系统的高危或极高危漏洞;涉及到集团内部人员、第三方厂商违规操作导致的风险高达68%,且仍在上升;45%的用户权限涉及的内部安全风险中,特权用户占比最高;有53%已检测到的内部攻击、异常行为对数据安全构成了直接风险。相对于黑客的外部网络攻击,内部员工拥有更大的权限和合法身份,他们的异常操作不太容易被发现。
发布时间:2021-08-02 17:29 | 阅读:70924 | 评论:0 | 标签:数据泄密 日志处理 日志易 分析

一杯茶的功夫就把日志搜索引擎性能调优了?!

Beaver 是由日志易自主研发、安全可控的搜索引擎,由 Master、Broker 和 Datanode 三部分组成,已广泛应用于存储和分析大型分布式系统生成的日志。Beaver 拥有大量与性能相关的配置项,由于手动配置费时费力,并且有时需要修改相关配置以适配特定环境,所以自动调整配置参数优化性能是当前迫切需要解决的问题。一、背景调研目前业界有许多自动调参的项目和算法实现,例如 CMU 开源的关系型数据库自动调参工具 OtterTune[1]、PingCAP 仿作的 TiKV 自动调参工具[2]等,都为我们提供了大量的论文以及开源算法代码。
发布时间:2021-08-02 14:50 | 阅读:91464 | 评论:0 | 标签:数据管理 日志引擎 日志易 日志

为日志分析而生的低代码开发语言

随着众多企业发布低代码平台,“低代码开发”已成为当下技术市场热门话题。Gartner预测,到2024年,低代码应用程序开发将占所有应用程序开发活动的65%。据悉,日志易研发的搜索处理语言(SPL,Search Processing Language)就是一种典型的低代码开发语言。【图一:SPL的输入编辑界面】SPL的低代码开发特性众多周知,数据库查询有SQL语言(Structured Query Language),但SQL仅适用于结构化数据的查询,日志是非结构化数据,SQL不适用。SPL则是专为日志这种非结构化数据进行搜索、分析而研发的处理语言,非结构化数据格式多样且处理难度更大。
发布时间:2021-04-08 15:08 | 阅读:92470 | 评论:0 | 标签:搜索处理语言 日志易

日志安全分析之文件监控

一、背景介绍在Linux操作系统中,所有内容都是以文件的形式保存和管理的,包括普通文件、目录、网络通信资源等都是文件,即“一切皆文件”。基于这种机制,针对Linux系统层的攻击方式,本质上往往是通过各种方式,对某些敏感文件进行篡改,使入侵得以进一步进行。例如,著名的脏牛提权漏洞(CVE-2016-5195)是get_user_page内核函数在处理Copy-on-Write的过程中,可能产出竞态条件造成Copy-on-Write过程被破坏,导致出现写数据到进程地址空间内只读内存区域的机会。最终,通过修改su或者passwd文件就可以达到root的目的。
发布时间:2020-11-09 15:13 | 阅读:139754 | 评论:0 | 标签:日志安全 日志易 安全

MITRE ATT&CK系列|你的定时任务被盯上了吗?

背景定时任务用于定时或者周期性执行命令或者脚本,极其方便。但是,也方便了黑客,攻击者可以利用定时任务下载恶意文件、执行恶意命令和脚本,是恶意软件惯用的持久化攻击技巧。在MITRE ATT&CK框架中也可以看到不少APT组织在攻击过程中用到定时任务,包括APT-C-36、APT29等。在Red Canary的威胁检测报告中,定时任务也连续两年威胁排名高居第二,受影响的组织高达33%。
发布时间:2020-11-09 15:13 | 阅读:128327 | 评论:0 | 标签:MITRE ATT&CK 日志易

MITRE ATT&CK系列文章之Windows管理共享风险检测

Windows管理共享在横向移动中常被用于勒索软件和加密货币挖矿程序等恶意软件的传播、攻击工具的复制以及在窃取数据后外传到特定主机,也可结合PsExec、CSExec、Impacket wmiexec等工具使用。其中,被广泛利用且影响严重的为基于SMB协议的永恒之蓝漏洞及其衍生出来的永恒之蓝勒索病毒和挖矿程序等。
发布时间:2020-10-16 17:15 | 阅读:149284 | 评论:0 | 标签:日志易 永恒之蓝漏洞 windows

MITRE ATT&CK系列文章之Powershell DLL注入及日志分析

背景进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,可以在另一个进程的地址空间内执行任意代码。由于执行的代码由合法的程序代理执行,因此通过进程注入可以绕过部分安全产品的防病毒检测或进程白名单检测,既提高了隐蔽性也实现了持久化。Red Canary公司在2019年对其客户环境的真实数据进行调研分析,整理得出2020威胁检测报告,报告中排名靠前的威胁有进程注入、定时任务、Windows Admin共享和Powershell等。另外,在2018年和2019年,进程注入的威胁风险排名都为第一,影响的客户也分别高达25%和35%。
发布时间:2020-10-16 17:15 | 阅读:138236 | 评论:0 | 标签:Powershell DLL注入 日志易 注入 shell

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁