本文详述如何通过Elasticsearch、Logstash和Kibana(ELK堆栈)将SSH日志转化为实时、交互式的开源SIEM仪表板,以增强SSH服务的安全监控。通过这种方式,可以追踪失败和成功的SSH尝试,便于及时发现潜在的安全威胁。内容包括设置过程、日志数据流管道的构建以及Kibana SSH安全仪表板的展示和分析功能。
SSH(安全外壳)是用于基于Linux的系统,路由器,交换机,防火墙,设备和其他资产的最常见的远程管理协议。尽管SSH守护程序提供了出色的强化功能,以增强您的身份验证方法和访问控制,但SSHD并未提供本机监视功能。
这篇博客文章详细介绍了如何使用ELK堆栈中的Kibana(Elasticsearch,Logstash和Kibana)将SSH日志文件转换为实时和交互式开源SIEM(安全信息和事件管理)仪表板。这样,您就知道谁在敲门并在SSH会话中获得可见性。图1显示了该实时仪表板。此安全性仪表板的左侧显示失败的SSH操作,而右侧显示成功的SSH会话:
在以下情况下,此数据和仪表板可能会很有用:
-您的SSH密钥对被盗/复制/破解,并被恶意参与者用来登录。
-利用了(Web应用程序)漏洞,并执行了特权升级,这导致sudo特权/根访问,或者生成并配置了辅助SSH密钥对。
-在网关,管理和Web /应用程序服务器上执行并行攻击,并且您想要使用SSH和sudo日志数据进行威胁搜索。
-SSHD或sudo配置中的配置错误会导致大量的登录和提升。
设置
您可以自建ELK Stack,也可以利用腾讯云ES 。后者实质上是云原生SIEM解决方案。
SSHD日志与操
最低0.47元/天 解锁文章
扫一扫
709
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
