Elk 1-0831

ELK - 1報告日期:2016/9/1

組員: 江啟暉

劉念慈

趙品清

報告大綱

資安漏洞防護

OWASP TOP10

網站存取Log Analytics

執行計畫流程

團隊組員介紹

Linux

Windows

8/11-8/30

Vincent/Mike/NT

專案架構圖

Web2 CentOS

6.8

ELK1CentOS

7.2

Kali-2016.1Server

Web1Windows 2012 R2

ELK2 CentOS

7.2

OWASP

ZAPNIKTO OWASP

ZAPNIKTO

FileBeat

192.168.19.199

192.168.19.126 192.168.19.194

192.168.19.121Kibana: Tcp/5601

192.168.19.196Kibana: Tcp/5601

192.168.19.130

Client PC BrowserWin 8.1

Apache+PHP+MySQL+WordPressNon-ModSecurity

Apache+PHP+MySQL+DrupalWith-ModSecurity

OWASP TOP10

架構 - Linux

.CentOS 6.8

.Apache 2.2.15

.ModSecurity 2.9.1

.Drupal Core 7.50 CMS

.Filebeat 1.2.3

.CentOS 7.2

.ElasticSearch

.Logstash

.Kibana

VM-194-網站VM-196-ELK Stack

.Kali 2016.1

.VM-199-弱點掃瞄平台

Log

Scan

OWASP TOP10

• A1 -- 注入攻擊

• A2 -- 失效的驗證與連線管理

• A3 -- 跨站腳本攻擊

• A4 -- 不安全的物件參考

• A5 -- 不當的安全組態設定

• A6 -- 敏感資料暴露

• A7 -- 存取控制缺乏權限分級功能

• A8 -- 跨站冒名請求

• A9 -- 使用已知漏洞元件

• A10 -- 未經驗證的重新導向與轉送

介紹 - OWASP

OWASP TOP10

A1 -- 注入攻擊

A4 -- 不安全的物件參考

A6 -- 敏感資料暴露

A7 -- 存取控制缺乏權限

分級功能

分析 - OWASP

OWASP TOP10

分析 - OWASP

A1 -- 注入攻擊

A4 -- 不安全的物件參考

A6 -- 敏感資料暴露

A7 -- 存取控制缺乏權限

分級功能

網站存取LOG

架構 - Windows

本機 Windows 8.1Wordpress 4.5.2zh_TW

Usbserver V8.6

• VMware-workstation-full-12.1.1

• Windows Server2012

• Filebeat 1.2.3Windows

• VMware-workstation-full-12.1.1

• CentOS-7-x86_64-Everything-1511

• ELK

由於本機原因，以共用資料夾取代此做法。

外部侵擾

網站存取LOG

• 免費的網站架設工具

• 簡單的搭建以下功能:

PHP VERSION

MYSQL

PHP MYADMIN

APACHE

• 解壓縮即可使用

網站存取LOG

• 自由開源的部落格軟體

• 免費易下載

內容管理系統

外掛模組架構

模板系統

• 開源的文件搜集器

• 擁有以下功能:

獲取日誌文件

發送日誌到Logstash & Elasticsearch

• 下載後用PowerShell執行

Filebeat

網站存取LOG

網站存取LOG

Filebeat原始log Logstash

Log處理機制

Present ElasticsearchKibana

網站存取LOG

LOG - 代碼

請求接受，繼續處理

伺服器成功處理

重新導向

存在使Server無法處理的錯誤

嘗試處理時發生內部錯誤

2XX

1XX

3XX

4XX

5XX

http://192.168.19.121:5601/app/kibana/dashboard/PTT-server_response?_g=(refreshInterval:(display:Off,pause:!f,value:0),time:(from:now-16d,mode:relative,to:now))&_a=(filters:!(),options:(darkTheme:!t),panels:!((col:1,id:table-server_response-count,panelIndex:1,row:1,size_x:6,size_y:4,type:visualization),(col:7,id:table-server_response-2,panelIndex:2,row:1,size_x:6,size_y:4,type:visualization)),query:(query_string:(analyze_wildcard:!t,query:'*')),title:PTT-server_response,uiState:())

http://192.168.19.121:5601/app/kibana/dashboard/PTT-server_response?_g=(refreshInterval:(display:Off,pause:!f,value:0),time:(from:now-16d,mode:relative,to:now))&_a=(filters:!(),options:(darkTheme:!t),panels:!((col:1,id:table-server_response-count,panelIndex:1,row:1,size_x:6,size_y:4,type:visualization),(col:7,id:table-server_response-2,panelIndex:2,row:1,size_x:6,size_y:4,type:visualization)),query:(query_string:(analyze_wildcard:!t,query:'*')),title:PTT-server_response,uiState:())

網站存取LOG

Web資料存取

GET Method

• 少量資料傳送

• 需要將URL存放至Book Mark

POST Method

• 大量資料傳送

• 不希望欄位資料顯示於URL之

後，如密碼。

http://192.168.19.121:5601/app/kibana/dashboard/server_method-table-1?_g=(filters:!(),refreshInterval:(display:Off,pause:!f,value:0),time:(from:now-16d,mode:relative,to:now))&_a=(filters:!(),options:(darkTheme:!t),panels:!((col:2,id:server_method-table,panelIndex:1,row:1,size_x:10,size_y:7,type:visualization)),query:(query_string:(analyze_wildcard:!t,query:'*')),title:server_method-table-1,uiState:())


網站存取LOG

Web資料存取

爬蟲? 滲透? 傻傻分不清楚!?



網站存取LOG

分析-IP

本圖所代表的意義?

值得注意的事!?

花俏的顏色?

記錄筆數

8月份記錄日期15 16 242017 21 22 23 27

http://192.168.19.121:5601/app/kibana/dashboard/about-IP-dashboard?_g=(filters:!(),refreshInterval:(display:Off,pause:!f,value:0),time:(from:now-16d,mode:relative,to:now))&_a=(filters:!(),options:(darkTheme:!t),panels:!((col:1,id:%271%27,panelIndex:1,row:1,size_x:5,size_y:4,type:visualization),(col:1,id:ip-by-days-Des,panelIndex:3,row:5,size_x:6,size_y:4,type:visualization),(col:6,id:total,panelIndex:4,row:1,size_x:3,size_y:4,type:visualization),(col:7,id:IP-ampersand-server_response_2,panelIndex:5,row:5,size_x:6,size_y:4,type:visualization),(col:9,id:Table-01,panelIndex:6,row:1,size_x:4,size_y:4,type:visualization)),query:(query_string:(analyze_wildcard:!t,query:%27*%27)),title:about-IP-dashboard,uiState:(P-1:(spy:(mode:(fill:!f,name:!n)),vis:(colors:(%271%27:%23CCA300,%27192.168.19.10%27:%2365C5DB,%27192.168.19.8%27:%237EB26D,%27192.168.19.9%27:%23E24D42),legendOpen:!f)),P-3:(vis:(colors:(%271%27:%23E5AC0E,%27192.168.19.10%27:%2364B0C8,%27192.168.19.126%27:%23052B51,%27192.168.19.8%27:%237EB26D,%27192.168.19.9%27:%23E24D42),legendOpen:!t)),P-4:(spy:(mode:(fill:!f,name:!n))),P-5:(spy:(mode:(fill:!f,name:!n)))))

http://192.168.19.121:5601/app/kibana/dashboard/about-IP-dashboard?_g=(filters:!(),refreshInterval:(display:Off,pause:!f,value:0),time:(from:now-16d,mode:relative,to:now))&_a=(filters:!(),options:(darkTheme:!t),panels:!((col:1,id:%271%27,panelIndex:1,row:1,size_x:5,size_y:4,type:visualization),(col:1,id:ip-by-days-Des,panelIndex:3,row:5,size_x:6,size_y:4,type:visualization),(col:6,id:total,panelIndex:4,row:1,size_x:3,size_y:4,type:visualization),(col:7,id:IP-ampersand-server_response_2,panelIndex:5,row:5,size_x:6,size_y:4,type:visualization),(col:9,id:Table-01,panelIndex:6,row:1,size_x:4,size_y:4,type:visualization)),query:(query_string:(analyze_wildcard:!t,query:%27*%27)),title:about-IP-dashboard,uiState:(P-1:(spy:(mode:(fill:!f,name:!n)),vis:(colors:(%271%27:%23CCA300,%27192.168.19.10%27:%2365C5DB,%27192.168.19.8%27:%237EB26D,%27192.168.19.9%27:%23E24D42),legendOpen:!f)),P-3:(vis:(colors:(%271%27:%23E5AC0E,%27192.168.19.10%27:%2364B0C8,%27192.168.19.126%27:%23052B51,%27192.168.19.8%27:%237EB26D,%27192.168.19.9%27:%23E24D42),legendOpen:!t)),P-4:(spy:(mode:(fill:!f,name:!n))),P-5:(spy:(mode:(fill:!f,name:!n)))))

網站存取LOG

分析-Server_response

49% 51%

8月份記錄日期

記錄筆數

17 20 23 241615 2221 27

What is this picture?

3位數的意義?

該注意哪裡?

http://192.168.19.121:5601/app/kibana/dashboard/Server_response_dashboard-1?_g=(refreshInterval:(display:Off,pause:!f,value:0),time:(from:now-16d,mode:relative,to:now))&_a=(filters:!(),options:(darkTheme:!t),panels:!((col:1,id:Response,panelIndex:3,row:1,size_x:5,size_y:4,type:visualization),(col:1,id:days-ampersand-server_response,panelIndex:4,row:5,size_x:6,size_y:4,type:visualization),(col:7,id:IP-ampersand-server_response_3,panelIndex:6,row:5,size_x:6,size_y:4,type:visualization),(col:6,id:total,panelIndex:7,row:1,size_x:3,size_y:4,type:visualization),(col:9,id:Table-01,panelIndex:8,row:1,size_x:4,size_y:4,type:visualization)),query:(query_string:(analyze_wildcard:!t,query:'*')),title:Server_response_dashboard-1,uiState:(P-3:(spy:(mode:(fill:!f,name:!n))),P-4:(spy:(mode:(fill:!f,name:!n)),vis:(colors:('200':%23584477,'302':%23CFFAFF,'304':%23BF1B00,'400':%23705DA0,'404':%23CCA300,'405':%231F78C1,'429':%237EB26D,'500':%23F2C96D,'503':%23EA6460),legendOpen:!f)),P-6:(vis:(colors:('200':%23584477,'302':%23CFFAFF,'304':%23BF1B00,'404':%23CCA300,'405':%231F78C1,'429':%237EB26D,'500':%23F2C96D,'503':%23EA6460))),P-7:(spy:(mode:(fill:!f,name:!n))),P-8:(spy:(mode:(fill:!f,name:!n)))))

http://192.168.19.121:5601/app/kibana/dashboard/Server_response_dashboard-1?_g=(refreshInterval:(display:Off,pause:!f,value:0),time:(from:now-16d,mode:relative,to:now))&_a=(filters:!(),options:(darkTheme:!t),panels:!((col:1,id:Response,panelIndex:3,row:1,size_x:5,size_y:4,type:visualization),(col:1,id:days-ampersand-server_response,panelIndex:4,row:5,size_x:6,size_y:4,type:visualization),(col:7,id:IP-ampersand-server_response_3,panelIndex:6,row:5,size_x:6,size_y:4,type:visualization),(col:6,id:total,panelIndex:7,row:1,size_x:3,size_y:4,type:visualization),(col:9,id:Table-01,panelIndex:8,row:1,size_x:4,size_y:4,type:visualization)),query:(query_string:(analyze_wildcard:!t,query:'*')),title:Server_response_dashboard-1,uiState:(P-3:(spy:(mode:(fill:!f,name:!n))),P-4:(spy:(mode:(fill:!f,name:!n)),vis:(colors:('200':%23584477,'302':%23CFFAFF,'304':%23BF1B00,'400':%23705DA0,'404':%23CCA300,'405':%231F78C1,'429':%237EB26D,'500':%23F2C96D,'503':%23EA6460),legendOpen:!f)),P-6:(vis:(colors:('200':%23584477,'302':%23CFFAFF,'304':%23BF1B00,'404':%23CCA300,'405':%231F78C1,'429':%237EB26D,'500':%23F2C96D,'503':%23EA6460))),P-7:(spy:(mode:(fill:!f,name:!n))),P-8:(spy:(mode:(fill:!f,name:!n)))))

執行計畫流程

建構平台

LinuxLog處理

Elastic資料儲

存Elastic Index

Kibana資料分

析

建構平台

WindowsLog處理

Elastic資料儲

存Elastic Index

Kibana資料分

析

8/11(四) 8/15(一) 8/17(三) 8/19(五) 8/23(一) 8/25(三)

資料彙整

團隊成員介紹

江啟暉 Vincent

工作：計畫時程控管、資料分析、資料視覺化、資料彙整

學歷：國立臺北大學社會學研究所、中國南開大學交換生

私立輔仁大學社會學系

專長：統計分析、研究設計、商務企劃

經歷：三鶯調查計畫研究助理(2012)

補教業授課教師

公關公司企劃人員

電子商務線上客服部

團隊成員介紹

趙品清 Mike

工作：資料汲取、資料清洗、視覺化分析

學歷：國立東華大學物理學系

專長：軟體美工、研究分析

經歷：EMT-1救護員弱電技術人員

團隊成員介紹

劉念慈 NienTzu

工作：資料汲取、資料清洗、視覺化分析

學歷：私立光武工專電子工程科

專長：伺服器與防火牆管理

經歷：公務機關約聘系統管理師

討論與指教

Elk 1-0831

Data & Analytics

Transcript of Elk 1-0831