蓝队-ELK日志分析系统&Yara规则写入_elk 日志 base64

作者：你好赵伟 | 2024-07-24 12:38:11

踩

elk 日志 base64

因为经常使用的是window，所以就用window操作系统直接搭建

需要到Elasticsearch、Logstash、kibana官网下载，且必须版本都一致，本次我使用的是7.6.1版本

Elasticsearch:用于存储收集到的日志信息；

Logstash:用于收集日志转发给Elasticsearch；

Kibana:通过Web端的可视化界面来查看日志。

docker安装:https://mp.weixin.qq.com/s/rakuhGVSoUysso1VD5r0aA

其实只需要添加java路径就行了，java版本无所谓，本人亲测1.8和11.2都行

1.解压的绝对路径最好不带中文及空格，win+R打开cmd，进入Elasticsearch的bin目录执行elasticsearch.bat文件

访问localhost:9200，能访问到进行

2.在bin目录下创建logstash.conf文件，内容如下：


input {
  tcp {
    port => 5044
  }
}
 
output {
  elasticsearch { hosts => ["localhost:9200"] }
  stdout { codec => rubydebug }
}

然后打开cmd进入bin目录运行logstash -f logstash.conf

3.进入C:\kibana-7.7.0-windows-x86_64\config目录修改kibana.yml配置文件

然后将最后面修改语言类型

3.最后访问http://localhost:5601，不要访问https

三种模式：上传文件，特定分析，代理加入。

1、导入Web日志

2、导入系统日志

3、自动监控日志

#Yara规则使用-规则检测&分析特征&自写规则

https://github.com/VirusTotal/yara

部分规则：https://github.com/Yara-Rules/rules

yara 为yara使用程序

yarac 为编译yara规则工具

通过设定好的规则进行筛选

特征提取：

1、多个样本同时对比筛选通用的数据

2、要根据样本的应用（分类、走的协议，文件头固定等）

利用已知规则库分析-挖矿样本&后门木马&勒索病毒

yara64.exe xxx.yar(此yar是自己编写好的) -r 文件夹

意思是从文件夹中筛选出自己提前设置的yar

-Yara规则内容支持字符串、正则表达式、十六进制进行匹配。

字符串：定义一个变量 $a = "字符串内容"

正则表达式：定义一个变量 $a = /正则表达式内容/

十六进制：定义一个变量 $a = {十六进制内容}

-Yara规则条件

and：与 or：或 not：非

all of them：所有条件匹配即告警

any of them：有一个条件匹配即告警

$a and $b and $c：abc同时匹配即告警

($a and $b) or $c：匹配a和b或c即告警

-Yara规则常用修饰符

nocase：不区分大小写

base64：base64字符串

xor：异或字符串

wide：宽字符


例：
xmrig挖矿样本
提取：文件头，关键字，协议，域名等
rule xmrigdemo 
{
	meta:    #写给自己看的，没啥用
		tag="xmrigdemo"
		description = "test xmrigdemo"
		author="xiaodisec"
 
	strings:    #关键词
		$hex = {4D 5A}
		$a = "stratum"
		$b = "xmrig"
		$c = "pool"
 
	condition:   #协议
		all of them
}
保存的时候为xxx.yar文件

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/你好赵伟/article/detail/874715