IT operations

Open source software to build SIEM

SIEM是企业安全运营中心的核心引擎,用于收集、分析和存储安全事件信息并为安全运营的各个流程提供决策信息。SIEM极为复杂,因此绝大多数企业都选择购买价格不菲的商业产品/服务。 但是,高企的价位和运营成本使SIEM成为大型企业才能享用的网络安全“奢侈品”,对于很多安全预算有限的中小型企业,部署SIEM会挤占大量研发、营销和人才预算。 云安全公司SOCFortress认为,网络安全是一种权利,而不应该是特权。该公司推荐了一整套开源工具来帮助企业搭建功能不输商业产品的开源SIEM(甚至SOC)方案,整理如下: 构成SIEM堆栈的关键要素 我们首先需要了解SIEM堆栈的关键构成。如果没有合适的工具,安全团队将很难检测、评估、分类和响应安全事件。随着网络的增长和采集日志量的增加,这一点尤其重要。 以下是必须整合到SIEM堆栈中的关键功能模块。 1. 日志采集 2. 日志分析 3. 后端存储 4. 可视化 5. 智力充实 6. 案例管理 7. 自动化

Read More
Technology

CA server backup and restore

即使你不打算对CA做迁移,你也应该对CA做一个备份,CA的备份与我们通常所进行的备份时不同的,CA的备份需要通过以下的步骤实现: 如果你正准备备份一个企业CA,在CA控制台中点击证书模板,然后记录下证书模板中列出的名称。这些模板都是存储在AD域中的,所以你不需要对它们进行备份。你必须要清楚的知道进行迁移的模板有哪些是由CA发布的,因为你必须在迁移之后手动的添加这些模板。 在CA控制台,右键点击CA名称,选择”所有任务”,然后点击”备份CA”打开CA备份向导,在备份向导中,你需要选择备份CA的私钥,CA证书,证书数据库以及证书数据库日志。你还可以指定一个合适的备份内容的存放位置,考虑到安全性因素,最好设定密码对CA私钥进行保护。 在完成备份之后,你应该打开注册表编辑器,找到并导出以下的注册表的子键: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration 注意:我们推荐将该注册表键值的导出文件保存到CA备份的文件夹中。 做完上面的操作后,一旦你想将CA迁移到其他的电脑,你需要将CA从旧的服务器上卸载,然后将旧 服务器重命名或断开它的网络连接。 CA还原 CA的还原通常是在必须修复当前CA或需要迁移到其他服务器时进行的。 还原CA需按照以下步骤操作: 在目标计算机上安装AD CS角色。选择安装独立CA或者企业CA,这取决于你需要迁移的CA的类型。当你见到”指定私钥类型”页面时,点击”使用现有私钥”,然后选中”选择一个证书并使用其关联私钥”,这样可以让你在新的CA服务器上继续使用原来旧服务器的证书。 在”现有证书”页面,点击导入,输入备份CA时生成.p12文件的存储路径,接着输入备份时设定的密码,然后点击确认,当你被提示”公钥和私钥秘钥对”时,确保选中了现有秘钥,如果你想使用相同的根CA证书,这个步骤非常关键。 当你进入到”证书数据库”页面,指定一个和旧服务器相同的存放位置去存放证书数据库和证书数据库日志,这些步骤都完成后,点击”配置”,等待安装向导的执行完毕。 安装完成后,打开AD CS服务的服务插件,还原旧服务器的设置。 找到备份时导出的注册表文件,然后双击将它导入到注册表中。 还原了注册表设置后,打开CA管理控制台,右键点击CA名称,点击”所有任务”,接着点击”还原CA”,这时会出现CA还原向导,在向导中你可以选择”私钥和CA证书”和”证书数据库和证书数据库日志”,这里是为了指定你想要还原的对象。下一步就输入一个备份文件夹位置并确认还原的设置没有问题。还原设置中”颁发日志”和”挂起申请”应该是”显示”。 当还原完成后,选择重启AD

Read More
IT operations

Two Ways to Configure Windows 10 Automatic Login

使用高级用户账户控制面板 1在运行中执行 netplwiz 命令 2此时将自动打开「高级用户账户控制面板」,在此你可以选中需要自动登录的账户名称 — 取消勾选「要使用本计算机,用户必需输入用户名和密码」选项 — 点击「应用」 3在点击「应用」后会自动弹出「自动登录」窗口,在这里输入账户的密码以便在 Windows 10 自动登录时使用。 当以上配置完成时,下次重启电脑之后便会用配置好的账户自动登录了。

Read More