MODULE 15
Logs Monitoring
& Analysis
日誌 (Logs) 是網路防禦的「黑盒子」。在網路戰場中,即時監控與事後鑑識是區分「被入侵」與「成功防禦」的關鍵。本模組將深入探討如何將數據轉化為情報。
> LOADING_MODULE_15... OK
> CHECKING_INTEGRITY... 100%
> DETECTED_THREAT_LEVEL: HIGH
> ACTIVATING_LOG_COLLECTOR...
> [ALERT] Multiple failed login attempts detected (EventID: 4625)
> [ALERT] Analyzing Source IP: 192.168.1.105
> CORRELATING EVENTS...
> DEFENSE MEASURES: ENGAGED
01 // LOGGING CONCEPTS & INFRASTRUCTURE
可視性 (Visibility)
你無法防禦你看不見的東西。日誌提供網路活動的詳細記錄,協助我們回答:誰(Who)、做了什麼(What)、何時(When)、在哪裡(Where)以及如何(How)。
NTP 時間同步
關鍵防禦點: 在法庭鑑識中,如果日誌時間不同步,證據將無效。所有設備必須指向同一個 Stratum 1 或 Stratum 2 NTP 伺服器。
集中式管理 (SIEM)
單機日誌容易被駭客清除。防禦者必須將日誌即時轉發 (Log Forwarding) 至安全的 Syslog Server 或 SIEM,確保數據的不可否認性 (Non-repudiation)。
02 // WINDOWS LOG ANALYSIS
>>> Event Viewer 關鍵事件 ID (Event IDs)
作為 CND 防禦者,您不需要記住所有 ID,但以下幾個是偵測入侵的關鍵指標 (IoA):
| Event ID | Log Type | Description (描述) | Defense Context (防禦視角) |
|---|---|---|---|
| 4624 | Security | Logon Successful | 正常登入。若發生在非上班時間或來自異常 IP,需警覺。 |
| 4625 | Security | Logon Failed | 登入失敗。連續大量的 4625 是 Brute Force 攻擊的典型特徵。 |
| 4720 | Security | User Account Created | 駭客建立後門帳號的跡象。需核對變更管理紀錄。 |
| 7045 | System | Service Installed | 惡意軟體通常會安裝服務以維持持續性 (Persistence)。 |
03 // LINUX LOGGING & SYSLOG
Linux 系統主要依賴 Syslog 協定。設定檔通常位於 /etc/rsyslog.conf 或 /etc/syslog.conf。
關鍵日誌路徑
- /var/log/auth.log (Debian/Ubuntu) 認證日誌,包含 sudo 使用紀錄、SSH 登入。
- /var/log/secure (RHEL/CentOS) 同上,記錄安全相關訊息。
- /var/log/syslog 系統層級的廣泛日誌。
- /var/log/dmesg Kernel 環狀緩衝區訊息 (開機硬體偵測)。
Syslog Severity Levels (嚴重性等級)
*防禦重點:應特別監控 Level 0-4 的日誌。
04 // LEGAL & COMPLIANCE
PCI-DSS Requirement 10
針對支付卡產業。要求必須追蹤並監控所有對網路資源和持卡人資料的存取。日誌必須保存至少一年,且最近三個月的日誌需可隨時線上查詢。
GDPR (一般資料保護規則)
若日誌中包含個人識別資訊 (PII),必須受到嚴格保護。同時日誌本身是證明企業是否盡到「資料保護責任」的關鍵證據。
SOX / HIPAA
針對上市公司財務與醫療資訊。要求保留稽核軌跡 (Audit Trails) 以防止詐欺與未授權存取。
TACTICAL ASSESSMENT V3.0
以下 10 題模擬 EC-Council CND 認證考題情境。請以「防禦者 (Network Defender)」的角度進行決策。
注意:請選擇最佳答案,選擇後將直接顯示解析。