Предотвращение и обнаружение вторжений.
Предотвращение и обнаружение вторжений играют решающую роль в обеспечении безопасности компьютеров и сетей. В случае взлома необходимо немедленно принять меры: - Изолировать скомпрометированные устройства для предотвращения распространения угрозы.
- Выявить и устранить пути проникновения путем исследования инцидента, установки обновлений безопасности и внедрения систем предотвращения вторжений.
- Оценить и устранить последствия взлома, включая восстановление скомпрометированных данных, смену учетных данных и уведомление пользователей.
Признаки взлома (IOC).
IOC могут указывать на компрометацию компьютера: - Вредоносные файлы (вирусы, бэкдоры, трояны и т.д.).
- Неавторизованные новые файлы.
- Несанкционированная сетевая активность.
- Аномальная активность на дисках и повышенное потребление ресурсов системы.
Использование Loki для обнаружения взлома.
Loki — это система сбора и хранения журналов с открытым исходным кодом, созданная Grafana Labs. Она используется для сбора, индексирования и запроса журналов из различных источников, таких как приложения, системы и устройства. Loki основан на модели данных PromQL, которая позволяет пользователям запрашивать журналы с использованием выражений PromQL. PromQL — это мощный язык запросов, который позволяет пользователям фильтровать, агрегировать и визуализировать данные журналов.
Loki состоит из следующих основных компонентов:
- Агент Loki: Агент, работающий на хостах, который собирает журналы и отправляет их в Loki.
- Loki: Сервер, который получает журналы от агентов и индексирует их.
- Promtail: Сторонний агент, который может собирать журналы из различных источников, таких как файлы журналов, syslog и Kubernetes.
- Grafana: Панель управления, которая позволяет пользователям визуализировать и исследовать журналы.
Как работает Loki:
- Агенты Loki собирают журналы с хостов и отправляют их на сервер Loki.
- Сервер Loki получает журналы и индексирует их, создавая обратный индекс по полям журналов.
- Пользователи могут использовать PromQL для запроса журналов на сервере Loki.
- Сервер Loki выполняет запросы и возвращает результаты пользователям.
- Пользователи могут визуализировать и исследовать результаты запросов с помощью Grafana.
Установка и запуск в Windows:
- Скачайте и распакуйте последнюю версию Loki.
- Откройте командную строку с правами администратора
- Обновите Loki и сигнатуры, перетащив loki-upgrader.exe в командную строку.
- Запустите сканирование, перетащив loki.exe в командную строку.
Анализ результатов:
Loki предоставит список обнаруженных IOC. Обратите внимание на: - Вредоносные файлы
- Неавторизованные новые файлы
- Несанкционированную сетевую активность
- Аномальную активность на дисках и повышенное потребление ресурсов системы