防火墙日志

目标:识别来自恶意IP的扫描尝试以及攻击行为

防火墙日志SOC分析师的异常搜索清单:

  • 受感染的系统可能会开始发送与您的其他流量不同的流量。也许攻击者正试图窃取数据,或者机器人可能只是试图联系其C&C基础设施。因此,请仔细查看来自外围防火墙的出站流量日志,例如(字节输入/输出、防火墙访问控制列表中允许的流量、用户帐户更改、带宽和CPU利用率超出)。
  • 考虑查看源地理位置,尽管和以前一样,不要落入陷阱。阻止来自地理封锁IP的入站和出站流量到已知签名。
  • 检查从IP流向特定端口或通用端口的被拒绝的入站流量,这些流量可用作您的团队在不久的将来向您发出的预警。
  • 拒绝出站流量:要拒绝出站流量,排除基础设施中的错误配置问题,您需要想知道网络内部发生了什么,防火墙拒绝了流量。如果流量被拒绝,那是因为您的安全策略之前考虑了这种情况,或者因为该通信不应该发生。
  • 一些僵尸网络C2协议与端口TCP 443通信,但使用专有协议而不是基于SSL的HTTP。因此,将端口80拒绝/阻止的连接监控到固定数量将有助于控制僵尸网络连接。
  • 监视SSH端口22是否存在异常的入站和出站连接可以防止未知连接,因为被黑端点和网络上的后门通常在标准服务上运行,例如端口22上的SSH,以便与正常流量混合并隐藏。
  • 查找协议端口不匹配。例如,在高端口上具有HTTP流量,或者甚至可能在TCP 80上具有SSH之类的东西是我们组织外部目标的标志。攻击者通常喜欢使TCP80 过载以通过松散安全的外围网络。
  • 攻击者通常使用SMB(服务器消息块)进行出站通信和从网络中窃取数据。因此,基于恶意SMB连接(例如来自相同源IP、目标端口和不同目标IP的目标端口137 (UDP)、138、139或445(TCP))每5分钟运行一次,查找/创建规则将减少SOC的手动工作分析师。
  • 寻找来自单一外部来源的过度拒绝,因为它是现在常见的攻击一天。基于相同源IP、远程到本地和防火墙的流量方向或ACL拒绝创建搜索。
  • 可以为来自单个内部主机的过多拒绝创建规则,它只监视单个服务器上的大量内部和出站防火墙拒绝。例如,这可能会揭示网络指纹或配置错误的设备。可以根据相同的源IP、本地到远程、本地到本地的流量方向、防火墙或ACL拒绝(拒绝/30分钟)来创建规则。您可能需要从该规则中排除资产扫描程序、漏洞扫描程序等内容。
  • 在内部网络扫描期间,攻击者可能会尝试从单个主机连接到大量端口;查看哪些端口是开放的。这将在正常的网络流量中脱颖而出。可以根据相同的源IP、本地到远程、本地到本地的流量方向、防火墙或ACL在1小时内拒绝100多个不同的目标端口来创建SIEM规则。我们可以将它应用于从内部主机到许多目的地的拒绝。
  • 检查IP地址是否进行主机扫描,然后在连接的IP和连接的IP之间建立成功的隧道。日志中的Ngrok.io url表明恶意软件正在使用安全隧道与外部IP主动通信以规避防火墙。
  • 每5分钟或最近30分钟内寻找100多个不同的外部IP地址,通过不同的目标端口启动到相同目标IP的连接。
  • 如果扫描后打开端口,请查找网络流量潜在违规行为。
  • 在10分钟内,检查任何源地址和公共目标地址之间的高严重性防火墙警报。
  • 寻找任何针对DMZ服务器(非军事区)的扫描探针和恶意负载,入侵DMZ将利用攻击者进行Web shell上传/端口访问/进程分组/主机地址。检测在DMZ服务器之间反弹的IP地址。大多数组织中,SSH端口将在DMZ服务器中打开。所以目标将是端口22。
  • 分析先前攻击中涉及的源IP作为目标IP的流量,以确保机器没有被感染。
  • 检查从私有IP连接到公共地址的恶意或声誉不佳的流量。
  • 一些IP扫描类型是:PING SCAN | TCP半开 | TCP连接 | UDP扫描 | 隐形扫描 – NULL、FIN、X-MAS | ACK标志探测扫描。在这里,我们可以根据以下条件创建规则:(a)相同的源IP针对不同的目标地址(b)相同的源IP针对不同的目标端口(c)相同的源IP针对相同的目标端口但目标地址不同(d)相同的源IP目标相同的目标地址,但不同的目标端口
  • 检查来自单个主机的过多防火墙拒绝。在一小时内检测到从单个源地址到单个目标地址的超过500次被阻止的尝试。
  • 在一个小时内检查从一个IP到多个目标IP的200多个被阻止的针对多个/单个端口的命中。
  • 查找在较长时间内连续的两个IP地址之间的ICMP数据包,以及与单个主机/多个主机的ICMP通信是由未知的外部IP地址生成的。
  • 检查日志中的ICMP类型和代码以指示入侵。
  • 寻找与被阻止的外部/地理封锁IP地址的通信:(a)与被阻止的罕见国家IP地址的通信(b)允许与相同国家/相同子网的IP地址的通信。(c)允许从同一 IP到DMZ服务器的入站通信(d)允许从同一公共IP到多个端口的通信
  • 从单个源地址寻找多个MAC地址。
  • 在相对较短的时间内,具有私有IP地址的单个源地址与不同的目标端口进行通信。
  • IP 代理服务器通信(防火墙/代理) 导致端点与已知不良域通信的恶意负载或进程由到已知可疑代理域/IP的流量指示。
  • 检查源或防火墙的连接时间异常长。
  • 检查任何TOR端口9001,9003,9050,9151,9150 可以监控出站连接。可以在加密端口8333、18333、9333、9999、22556和30303上监控出站连接。根据威胁情报记录监控TOR出口节点IP。
  • 在相对较短的时间内,使用相同目的端口的IP地址与不同的目的地址进行通信。
  • 在源端口和目标端口相同的非标准端口上传递到公共地址的数据包数量增加。
  • 可以通过使用公共IP地址通过TCP扫描DNS端口的授权流量并增加发送到公共DNS地址的数据包数量来完成DNS搜索。
  • 检查从稀有机器到已知关键服务器的奇怪RDP/LDAP/FTP和SMB活动。
  • 从以前的攻击中收集到的与潜在可疑端口的通信。
  • 寻找防火墙允许的流量,例如建立连接、访问列表 - 允许并检查异常活动。
  • 寻找被防火墙拒绝的流量,例如访问列表 - 拒绝入站。