堡壘機是什麼?
現在的大多數行業往往都擁有大量服務器,如何安全並高效的管理這些服務器便成為每個系統運維或安全運維人員的必要工作。而比較常見的方案就是搭建堡壘機環境作為線上服務器的入口,所有服務器只能先通過堡壘機進行登陸再訪問。
運維人員在維護的過程中,首先要統一登錄到這臺服務器上,然後從這臺服務器再登錄到目標設備進行維護。
堡壘機來防止繞過的方式是所有的服務器都只允許堡壘機這臺主機的IP進行網絡連接。那麼我們就必須連接到這臺堡壘機上,才能進行下一步連接服務器的操作。想要連接這臺堡壘機,堡壘機就需要對外開放端口,對外開放端口了就一定會有風險。
那麼我們如何才能發現堡壘機繞行事件呢?
南京聚銘網絡科技有限公司旗下綜合日誌分析系統(簡稱SAS)的日誌審計功能針對此類事件有著很統一精確的處理方式。審計系統能夠實時不間斷地採集匯聚企業中不同廠商不同種類的安全設備、網絡設備、主機、操作系統以及用戶業務系統的日誌信息,協助用戶進行安全分析及合規審計,及時、有效地發現異常安全事件和審計違規。
審計管理 為審計人員、系統管理人員提供了一個統一的審計工具,減少人、財、物的投入,降低了綜合審計成本,只需簡單幾步就可以查看到效果。
步驟一:用戶需要通過SAS的資產管理功能維護所有重要資產,在維護資產的過程中,可以通過【開啟智能綁定採集器】來快速的完成資產日誌的準確接入。
步驟二:系統內置了豐富的關聯、審計策略及模板,其中就包含了今天主角【堡壘機繞行策略】
由於每個客戶部署的堡壘機地址都是不一樣的,所以我們可以通過從【堡壘機繞行策略】模板複製一個策略,根據實際堡壘機地址進行配置。
假設某客戶的堡壘機IP為172.16.0.112
接下來就是見證奇蹟的時刻了
首先,我們通過堡壘機訪問某資產,查看日誌明細如下:
進入【告警監控】菜單,可以看到,此時並沒有產生任何告警。
然後我們嘗試繞行訪問某資產,查看日誌明細如下:
再次進入【告警監控】菜單,就可以看到相關告警已經產生。
堡壘機繞行行為審計,就是如此簡單!
聚銘綜合日誌分析系統是聚銘網絡以大數據、機器學習技術為核心研發的智能化綜合日誌分析系統。系統可通過三大網絡日誌分析引擎以及四種流量安全分析策略,為企業打造兩大安全分析體系,滿足企業對信息安全事件”可發現“、“可處理”、“可審計”、“可度量”的需求。
