elk 1-0831
TRANSCRIPT
![Page 1: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/1.jpg)
ELK - 1報告日期:2016/9/1
組員: 江啟暉
劉念慈
趙品清
![Page 2: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/2.jpg)
報告大綱
資安漏洞防護
OWASP TOP10
網站存取Log Analytics
執行計畫流程
團隊組員介紹
Linux
Windows
8/11-8/30
Vincent/Mike/NT
![Page 3: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/3.jpg)
專案架構圖
Web2 CentOS
6.8
ELK1CentOS
7.2
Kali-2016.1Server
Web1Windows 2012 R2
ELK2 CentOS
7.2
OWASP
ZAPNIKTO OWASP
ZAPNIKTO
FileBeat
192.168.19.199
192.168.19.126 192.168.19.194
192.168.19.121Kibana: Tcp/5601
192.168.19.196Kibana: Tcp/5601
192.168.19.130
Client PC BrowserWin 8.1
Apache+PHP+MySQL+WordPressNon-ModSecurity
Apache+PHP+MySQL+DrupalWith-ModSecurity
![Page 4: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/4.jpg)
OWASP TOP10
架構 - Linux
.CentOS 6.8
.Apache 2.2.15
.ModSecurity 2.9.1
.Drupal Core 7.50 CMS
.Filebeat 1.2.3
.CentOS 7.2
.ElasticSearch
.Logstash
.Kibana
VM-194-網站VM-196-ELK Stack
.Kali 2016.1
.VM-199-弱點掃瞄平台
Log
Scan
![Page 5: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/5.jpg)
OWASP TOP10
• A1 -- 注入攻擊
• A2 -- 失效的驗證與連線管理
• A3 -- 跨站腳本攻擊
• A4 -- 不安全的物件參考
• A5 -- 不當的安全組態設定
• A6 -- 敏感資料暴露
• A7 -- 存取控制缺乏權限分級功能
• A8 -- 跨站冒名請求
• A9 -- 使用已知漏洞元件
• A10 -- 未經驗證的重新導向與轉送
介紹 - OWASP
![Page 6: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/6.jpg)
OWASP TOP10
A1 -- 注入攻擊
A4 -- 不安全的物件參考
A6 -- 敏感資料暴露
A7 -- 存取控制缺乏權限
分級功能
分析 - OWASP
![Page 7: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/7.jpg)
OWASP TOP10
分析 - OWASP
A1 -- 注入攻擊
A4 -- 不安全的物件參考
A6 -- 敏感資料暴露
A7 -- 存取控制缺乏權限
分級功能
![Page 8: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/8.jpg)
網站存取LOG
架構 - Windows
本機 Windows 8.1Wordpress 4.5.2zh_TW
Usbserver V8.6
• VMware-workstation-full-12.1.1
• Windows Server2012
• Filebeat 1.2.3Windows
• VMware-workstation-full-12.1.1
• CentOS-7-x86_64-Everything-1511
• ELK
由於本機原因,以共用資料夾取代此做法。
外部侵擾
![Page 9: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/9.jpg)
網站存取LOG
• 免費的網站架設工具
• 簡單的搭建以下功能:
PHP VERSION
MYSQL
PHP MYADMIN
APACHE
• 解壓縮即可使用
![Page 10: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/10.jpg)
網站存取LOG
• 自由開源的部落格軟體
• 免費易下載
內容管理系統
外掛模組架構
模板系統
![Page 11: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/11.jpg)
• 開源的文件搜集器
• 擁有以下功能:
獲取日誌文件
發送日誌到Logstash & Elasticsearch
• 下載後用PowerShell執行
Filebeat
網站存取LOG
![Page 12: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/12.jpg)
網站存取LOG
Filebeat原始log Logstash
Log處理機制
Present ElasticsearchKibana
![Page 13: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/13.jpg)
網站存取LOG
LOG - 代碼
請求接受,繼續處理
伺服器成功處理
重新導向
存在使Server無法處理的錯誤
嘗試處理時發生內部錯誤
2XX
1XX
3XX
4XX
5XX
![Page 14: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/14.jpg)
網站存取LOG
Web資料存取
GET Method
• 少量資料傳送
• 需要將URL存放至Book Mark
POST Method
• 大量資料傳送
• 不希望欄位資料顯示於URL之
後,如密碼。
![Page 15: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/15.jpg)
網站存取LOG
Web資料存取
爬蟲? 滲透? 傻傻分不清楚!?
![Page 16: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/16.jpg)
網站存取LOG
分析-IP
本圖所代表的意義?
值得注意的事!?
花俏的顏色?
記錄筆數
8月份記錄日期15 16 242017 21 22 23 27
![Page 17: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/17.jpg)
網站存取LOG
分析-Server_response
49% 51%
8月份記錄日期
記錄筆數
17 20 23 241615 2221 27
What is this picture?
3位數的意義?
該注意哪裡?
![Page 18: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/18.jpg)
執行計畫流程
建構平台
LinuxLog處理
Elastic資料儲
存Elastic Index
Kibana資料分
析
建構平台
WindowsLog處理
Elastic資料儲
存Elastic Index
Kibana資料分
析
8/11(四) 8/15(一) 8/17(三) 8/19(五) 8/23(一) 8/25(三)
資料彙整
![Page 19: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/19.jpg)
團隊成員介紹
江啟暉 Vincent
工作:計畫時程控管、資料分析、資料視覺化、資料彙整
學歷:國立臺北大學社會學研究所、中國南開大學交換生
私立輔仁大學社會學系
專長:統計分析、研究設計、商務企劃
經歷:三鶯調查計畫研究助理(2012)
補教業授課教師
公關公司企劃人員
電子商務線上客服部
![Page 20: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/20.jpg)
團隊成員介紹
趙品清 Mike
工作:資料汲取、資料清洗、視覺化分析
學歷:國立東華大學物理學系
專長:軟體美工、研究分析
經歷:EMT-1救護員弱電技術人員
![Page 21: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/21.jpg)
團隊成員介紹
劉念慈 NienTzu
工作:資料汲取、資料清洗、視覺化分析
學歷:私立光武工專電子工程科
專長:伺服器與防火牆管理
經歷:公務機關約聘系統管理師
![Page 22: Elk 1-0831](https://reader031.vdocuments.net/reader031/viewer/2022021506/58a378d01a28abaa488b59c9/html5/thumbnails/22.jpg)
討論與指教