← Tillbaka till Försvar

Detektering och loggning

Brandväggsloggar

Brandväggsloggar registrerar tillåter och nekar beslut vid nätverksgränser och värdbrandväggar. De hjälper dig att validera segmentering, upptäcka skanning och upptäcka oväntad utgående aktivitet som kan indikera kommando och kontroll eller dataexfiltrering.

Lärandemål

Det här ska du kunna efter genomläsning.
  • Använd brandväggsloggar för att förstå exponering, segmentering och utgångsbeteende
  • Känn igen skanningsmönster, felkonfigurationer och policydrift i loggdata
  • Designa brandväggsloggning som stöder utredningar utan att skapa brus

I korthet

En snabb mental modell innan du går på djupet.
🧠
Vad brandväggsloggar visar
  • Ett policybeslut (tillåtet, nekat, avvisat)
  • Vem pratade med vem och på vilket protokoll
  • Vilken regel eller zon matchade trafiken
  • När och var trafiken träffade brandväggen
Hög signalvy
  • Nekar administratörsportar och känsliga segment
  • Nya utgående destinationer från servrar
  • Östvästtrafiken ökar mellan segmenten
  • Upprepade avslag från en källa över många mål
Gotchas
  • NAT kan dölja den ursprungliga interna källan
  • Stateful loggning kan endast fånga det första paketet
  • Hastighetsgränser kan dölja skanningsformer
  • Tillåten trafikloggning kan explodera volymen snabbt

Vad brandväggsloggar bör innehålla

  • Tidsstämpel, `action` (tillåt eller neka), regelnamn eller id, gränssnitt, protokoll och portar
  • Källa och destination IP plus riktning och användar- eller enhetsidentitet när tillgängligt
  • Anslutningskontext som tillstånd, byte eller paket, NAT översättning och släpp orsak när det tillhandahålls

Detektionsidéer

Mönster Vad du ser Varför det spelar roll Säkerhetseffekt av att agera
Portskanning En källa träffar många portar eller många värdar med frekventa avslag Ofta spaning före exploateringsförsök Blockera eller hastighetsbegränsa källan och verifiera att exponerade tjänster är avsiktliga
Oväntat utträde Nya destinationer, ovanliga portar eller trafik till domäner som är sällsynta för den värden Kan indikera kommando och kontroll av skadlig programvara eller iscensättning för exfiltrering Innehåll värden, blockera destinationer och leta efter samma mönster över slutpunkter
Policyavvikelse Nya breda tillåtelseregler eller plötsliga toppar i träffar på en befintlig regel Ökar attackytan och kan dölja skadlig trafik Se över ändringskontrollen, skärp reglerna och lägg till varningar om regeländringar med hög risk

Signaler att bevaka

Mönster som är värda att undersöka vidare.
📡
  • Neka toppar från en enda källa eller mot en kritisk tjänst
  • Utgående förbindelser till nya destinationer som är sällsynta för miljön
  • Tillåt regler som plötsligt tar emot tät trafik utanför normal tid

FÖRDJUPNING

Tolka ett brandväggsbeslut

En brandväggslogg är ett policybeslut i ett visst ögonblick. Läs den som en mening: en åtgärd inträffade eftersom en regel matchade protokoll, källa, destination och port.

Extrahera en konsekvent kärnuppsättning av fält: `action`, regelnamn eller id, riktning, gränssnitt, src_ip, dst_ip, src_port, dst_port, protokoll och valfri zon eller policyetikett.

Bekräfta alltid vad du tittar på. Vissa enheter loggar pre NAT adresser, vissa loggar postar NAT adresser, och vissa kan logga båda.

Logga utan att drunkna i buller

Att logga alla tillåtna anslutningar är vanligtvis för bullriga. Ett praktiskt tillvägagångssätt är att logga avslag, plus en kurerad uppsättning tillåtelser som indikerar risk, såsom nya utgående destinationer, administratörsportar och trafik till känsliga segment.

Om du använder provtagning eller hastighetsbegränsning, dokumentera det. Under skanning kan hastighetsgränser dölja formen på en attack. Föredrar fullständiga detaljer för nyckeltillgångar och segment.

Skanna mönster kontra normalt beteende

Portskanningar ser ofta ut som många korta försök till många portar eller många värdar. Kombinera brandväggsloggar med slutpunktssignaler när det är möjligt för att bekräfta om en legitim process gjorde försöken.

Normalt beteende har mönster. En webbserver som tar emot många inkommande anslutningar är normalt. En databasserver som tar emot slumpmässiga inkommande portar är det inte.

Baslinje efter roll. Segmentera dina sökningar efter serverklass, användarundernät och kritiska tillgångar för att minska brus.

Utgång och segmentering som detektionsytor

Utträde är ofta där upptäckt är lättast. Utgående anslutningar från servrar som inte ska prata med internet är högt värderade.

Segmenteringsbeslut är också starka signaler. Om en värd börjar prata med ett segment som den aldrig berört tidigare, undersök processen och identiteten bakom den.

Para ihop brandväggsloggar med DNS och proxyloggar för att förstå domänkontexten bakom en utgående anslutning.

NAT, tillstånd och andra gotchas

NAT kan ändra det du ser. Du kan behöva både den interna och externa adressen för att spåra aktivitet tillbaka till en värd. Se till att du vet var NAT förekommer i din väg.

Stateful brandväggar kan bara logga det första paketet i ett flöde, eller bara neka. Förstå om du får loggar per paket, loggar per anslutning eller sammanfattningar, eftersom detta ändrar hur du tolkar volymen.

Praktiska undersökningar med brandväggsloggar

När du ser ett avslag, fråga vad det försökte göra och om värden någonsin skulle försöka det. Om destinationen är extern, kontrollera om den visas i DNS-loggar och proxyloggar för samma tidsfönster.

När du ser en ny tillåtelse till en sällsynt destination, behandla den som en ledning. Identifiera ursprungsprocessen från slutpunktstelemetri och bekräfta om destinationen förväntas för den applikationen.

Startjakter

• Nekar adminportar från användarundernät

• Nya utgående destinationer från servrar

• Östvästlig trafik ökar mellan segmenten

• Upprepade avslag från en källa över många mål

• Högvolym utgående anslutningar till en destination