SIEMエンジニアリング(例:Splunk ES)とセキュリティオートメーション(例:Splunk Phantom)を可能にするフルサイクルプラットフォームを使用する利点がありますが、これらはオープンソースプラットフォーム(例 [〜 #〜] helk [〜#〜] SIEMエンジニアリング用 Rundeck セキュリティ自動化用)。
ATT&CK の検出には多くの利点があり、プラットフォームによって異なります。たとえば、Microsoft Sysmon はWindowsおよびWindows Serverには最適ですが、Linuxまたは macOS では使用できません。 osquery には、3つすべてに configurations が多数ありますが、 ATT&CKカバレッジはWindowsのみになる傾向があります もあります。 auditd はLinux専用です。 xnumon はmacOS専用ですが、 たくさんのこと があります このフォーラムで取り上げています もあります。
この質問で求めているのは、OSに依存するだけでなく、Webサーバーやアプリケーションにも依存するようです。ただし、 NCSA Common Web Server Log format などのいくつかの標準と緩いガイドラインがあります。
実際のところ、あなたができることは多くありませんが、私は いくつかの記事 Apache-scalpなどのカバーツールを見てきました。 Apache httpd Webサーバーの場合、アクセスログファイルは通常/var/log/Apache2/access.logにありますが、どこにあってもかまいません(設定もどこでもかまいません)。 Windows Serverの場合IIS Webサーバーの場合、ログファイルは通常\WINDOWS\system32\LogFiles\W3SVC1にありますが、他の場所でも構成できます。Webアプリケーションのほとんどのデータベースおよびその他の統合ポイントは、デフォルトではログに記録しません。 、またはそれらのログはセキュリティ上の理由から興味深いものではありません(ただし、常にそうであるとは限りません)。
ツールをインストールするか、Pythonスクリプトなど)を実行できる場合は、良いスタートを切ることができます。そうでない場合は、ログを別の場所に移動できますが、最終的には最初にここであなたをもたらした元のNot-Using Splunkの問題に戻ります。Microsoftには LogParser という名前のWebサーバー/ Webアプリログ分析用のより公式なツールがあり、クールなことを行うことができます。なので:
logparser.exe -i:iisw3c -o:Datagrid -rtp:100 "日付、時刻、c-ip、cs-uri-stem、cs-uri-query、時間、sc-statusをC:wwwlogsW3SVCmyserver *から選択します。 「%UNION%」のようなcs-uri-queryのログ
Apache、Nginx、およびIIS Webサーバーは、HTTP GET要求とそれらに関連付けられたサーバー応答コードのみをログに記録する傾向があります。さらに必要な場合は、追加のボルトオンユーティリティを使用する必要があります。/or設定。
たとえば、Apacheの場合、mod_dumpioは2009年から存在しており、mod_securityなどが後に追加されて、HTTP POSTと長いサーバー応答コレクションをサポートしています。
proxy_pass変数を活用するために、Nginx Webサーバーに対してfastcgi_passまたは$request_body行を構成できます。
Advanced Logging Extension for IISをMicrosoftに追加するIISサーバーに同じまたはそれ以上の機能を追加することができます。