Day-097-系统审计与合规

# Day 99: 系统审计与合规 - auditd/Windows 审计/合规检查

> 系统安全系列第 9 天 | 预计阅读时间：30 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [系统审计概述](#系统审计概述)
2. [Linux auditd](#linux-auditd)
3. [Windows 审计策略](#windows-审计策略)
4. [Sysmon 配置](#sysmon-配置)
5. [合规检查](#合规检查)
6. [审计分析](#审计分析)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## 系统审计概述

### 审计目的

**安全审计**：
- 检测入侵行为
- 追踪攻击路径
- 支持事件响应
- 满足合规要求

**合规审计**：
- 等保 2.0
- PCI-DSS
- ISO 27001
- HIPAA/SOX

### 审计内容

**用户活动**：
- 登录/登出
- 权限变更
- 文件访问
- 命令执行

**系统活动**：
- 进程创建
- 网络连接
- 配置变更
- 服务启停

**安全事件**：
- 认证失败
- 权限提升
- 策略变更
- 恶意行为

---

## Linux auditd

### auditd 架构

**组件**：
```
auditd: 审计守护进程
auditctl: 规则管理工具
ausearch: 日志搜索工具
aureport: 报告生成工具
audisp: 日志分发插件
```

**日志位置**：
```
/var/log/audit/audit.log  # 审计日志
/etc/audit/auditd.conf    # 守护进程配置
/etc/audit/rules.d/       # 规则目录
```

### 基础配置

**安装与启动**：
```bash
# 安装 auditd
# Debian/Ubuntu
apt-get install auditd audispd-plugins

# RHEL/CentOS
yum install audit audit-libs

# 启动服务
systemctl enable auditd
systemctl start auditd

# 查看状态
systemctl status auditd
```

**守护进程配置**：
```ini
# /etc/audit/auditd.conf

# 日志文件大小
max_log_file = 100

# 日志文件数量
num_logs = 5

# 日志空间不足时动作
space_left = 75
space_left_action = SYSLOG
admin_space_left = 50
admin_space_left_action = SUSPEND

# 日志格式
log_format = ENRICHED

# 日志分发
dispatcher = /sbin/audispd
```

### 审计规则

**文件监控**：
```bash
# 监控关键文件
auditctl -w /etc/passwd -p wa -k identity
auditctl -w /etc/shadow -p wa -k identity
auditctl -w /etc/sudoers -p wa -k identity
auditctl -w /etc/ssh/sshd_config -p wa -k sshd

# 监控目录
auditctl -w /etc/cron.d -p wa -k cron
auditctl -w /var/log -p wa -k logs

# 查看规则
auditctl -l
```

**系统调用监控**：
```bash
# 监控 execve (命令执行)
auditctl -a exit,always -F arch=b64 -S execve -k exec

# 监控权限变更
auditctl -a exit,always -F arch=b64 -S chmod -S chown -S setuid -S setgid -k perm_change

# 监控挂载
auditctl -a exit,always -F arch=b64 -S mount -S umount -k mount

# 查看系统调用规则
auditctl -l | grep syscall
```

**网络监控**：
```bash
# 监控网络连接
auditctl -a exit,always -F arch=b64 -S connect -S bind -S listen -S accept -k network

# 监控 socket 创建
auditctl -a exit,always -F arch=b64 -S socket -k socket
```

### 规则持久化

**规则文件**：
```bash
# /etc/audit/rules.d/security.rules

# 删除所有规则
-D

# 设置缓冲区
-b 8192

# 失败时行为
-f 1

# 文件监控
-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/sudoers -p wa -k sudoers
-w /etc/ssh/sshd_config -p wa -k sshd

# 系统调用监控
-a exit,always -F arch=b64 -S execve -k exec
-a exit,always -F arch=b64 -S chmod -S chown -k perm_change
-a exit,always -F arch=b64 -S mount -k mount

# 网络监控
-a exit,always -F arch=b64 -S connect -k network_connect
```

**加载规则**：
```bash
# 从文件加载规则
auditctl -R /etc/audit/rules.d/security.rules

# 重启服务自动加载
systemctl restart auditd
```

### 日志分析

**搜索工具**：
```bash
# 搜索特定密钥
ausearch -k identity

# 搜索特定用户
ausearch -ua admin

# 搜索特定时间范围
ausearch -ts today -te now

# 搜索认证失败
ausearch -m USER_AUTH -sv no

# 搜索文件访问
ausearch -f /etc/passwd
```

**报告生成**：
```bash
# 生成摘要报告
aureport

# 生成认证报告
aureport --auth

# 生成文件访问报告
aureport --file

# 生成用户报告
aureport --user

# 生成可执行文件报告
aureport --executable

# 生成时间范围报告
aureport --ts "2026-04-12 00:00:00" -te "2026-04-12 23:59:59"
```

### 高级配置

**排除规则**：
```bash
# 排除特定用户
auditctl -a exit,never -F arch=b64 -F uid=0 -S execve

# 排除特定路径
auditctl -a exit,never -F arch=b64 -F dir=/usr -S execve
```

**条件规则**：
```bash
# 仅监控特定 UID 范围
auditctl -a exit,always -F arch=b64 -F uid>=1000 -F uid<65534 -S execve -k user_exec

# 监控特定 GID
auditctl -a exit,always -F arch=b64 -F gid=1000 -S execve -k admin_exec
```

---

## Windows 审计策略

### 审计策略配置

**本地策略**：
```powershell
# 查看当前审计策略
auditpol /get /category:*

# 启用登录审计
auditpol /set /subcategory:"Logon" /success:enable /failure:enable

# 启用对象访问审计
auditpol /set /subcategory:"Object Access" /success:enable /failure:enable

# 启用进程创建审计
auditpol /set /subcategory:"Process Creation" /success:enable

# 启用命令行进程审计
auditpol /set /subcategory:"Process Creation" /success:enable
```

**组策略配置**：
```
计算机配置 → 策略 → Windows 设置 → 安全设置 → 高级审计策略配置

推荐配置:
- 账户登录：成功 + 失败
- 账户管理：成功 + 失败
- 目录服务访问：成功 + 失败
- 登录事件：成功 + 失败
- 对象访问：成功 + 失败
- 策略变更：成功 + 失败
- 特权使用：成功 + 失败
- 系统事件：成功 + 失败
- 详细跟踪：进程创建 (成功)
```

### 关键事件 ID

**登录事件**：
```
4624: 成功登录
4625: 登录失败
4634: 注销
4647: 用户发起注销
4672: 特殊权限分配给新登录
4778: 会话重新连接
4779: 会话断开
```

**账户管理**：
```
4720: 创建用户账户
4722: 启用用户账户
4723: 尝试更改账户密码
4724: 尝试重置账户密码
4725: 禁用用户账户
4726: 删除用户账户
4728: 添加到安全组
4729: 从安全组移除
4732: 添加到本地管理员组
4733: 从本地管理员组移除
```

**进程事件**：
```
4688: 创建新进程 (需启用命令行审计)
4689: 进程退出
4697: 安装服务
```

**对象访问**：
```
4656: 请求对象句柄
4657: 修改对象句柄
4658: 关闭对象句柄
4660: 删除对象
4663: 访问对象
```

**策略变更**：
```
4719: 修改系统审计策略
4739: 修改域审计策略
4902: 修改用户账户控制策略
```

### PowerShell 审计

**启用模块日志**：
```powershell
# 启用模块日志
New-Item -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging" -Force
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging" -Name "EnableModuleLogging" -Value 1 -PropertyType DWORD -Force

# 配置要记录的模块
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ModuleLogging" -Name "ModuleNames" -Value "*" -PropertyType MultiString -Force
```

**启用脚本块日志**：
```powershell
# 启用脚本块日志
New-Item -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1 -PropertyType DWORD -Force
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockInvocationLogging" -Value 1 -PropertyType DWORD -Force
```

**查看 PowerShell 日志**：
```powershell
# 查看 PowerShell 日志
Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" -MaxEvents 50

# 查看脚本块日志
Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" | Where-Object {$_.Id -eq 4104} | Select-Object -First 10
```

---

## Sysmon 配置

### Sysmon 概述

**功能**：
```
- 进程创建监控
- 网络连接监控
- 文件创建监控
- 注册表监控
- WMI 活动监控
- DNS 查询监控
```

**日志位置**：
```
Windows 日志 → 应用程序
来源：Microsoft-Windows-Sysmon
```

### 安装配置

**安装 Sysmon**：
```powershell
# 下载 Sysmon
Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Sysmon.zip" -OutFile "Sysmon.zip"
Expand-Archive Sysmon.zip -DestinationPath C:\Sysmon

# 安装 Sysmon
C:\Sysmon\Sysmon.exe -accepteula -i C:\Sysmon\config.xml

# 查看安装状态
sc query Sysmon64

# 卸载 Sysmon
C:\Sysmon\Sysmon.exe -u
```

### 配置文件

**基础配置**：
```xml

<Sysmon schemaversion="4.70">
  <HashAlgorithms>md5,sha256</HashAlgorithms>
  <CheckRevocation>False</CheckRevocation>
  
  <EventFiltering>
    
    <RuleGroup groupRelation="or">
      <ProcessCreate onmatch="exclude">
        <Image condition="is">C:\Windows\System32\lsass.exe</Image>
        <Image condition="is">C:\Windows\System32\services.exe</Image>
        <Image condition="is">C:\Windows\System32\svchost.exe</Image>
      </ProcessCreate>
    </RuleGroup>
    
    
    <RuleGroup groupRelation="or">
      <FileCreateTime onmatch="include">
        <Image condition="end with">.exe</Image>
        <Image condition="end with">.dll</Image>
      </FileCreateTime>
    </RuleGroup>
    
    
    <RuleGroup groupRelation="or">
      <NetworkConnect onmatch="include">
        <Image condition="end with">.exe</Image>
        <DestinationPort condition="is">4444</DestinationPort>
        <DestinationPort condition="is">5555</DestinationPort>
        <DestinationPort condition="is">8080</DestinationPort>
      </NetworkConnect>
    </RuleGroup>
    
    
    <RuleGroup groupRelation="or">
      <ProcessTerminate onmatch="include">
        <Image condition="end with">.exe</Image>
      </ProcessTerminate>
    </RuleGroup>
    
    
    <RuleGroup groupRelation="or">
      <ImageLoad onmatch="include">
        <ImageLoaded condition="end with">.sys</ImageLoaded>
      </ImageLoad>
    </RuleGroup>
    
    
    <RuleGroup groupRelation="or">
      <CreateRemoteThread onmatch="include">
        <SourceImage condition="end with">.exe</SourceImage>
      </CreateRemoteThread>
    </RuleGroup>
    
    
    <RuleGroup groupRelation="or">
      <FileCreate onmatch="include">
        <TargetFilename condition="end with">.exe</TargetFilename>
        <TargetFilename condition="end with">.bat</TargetFilename>
        <TargetFilename condition="end with">.ps1</TargetFilename>
        <TargetFilename condition="end with">.vbs</TargetFilename>
      </FileCreate>
    </RuleGroup>
    
    
    <RuleGroup groupRelation="or">
      <RegistryEvent onmatch="include">
        <TargetObject condition="contains">\CurrentVersion\Run</TargetObject>
        <TargetObject condition="contains">\CurrentVersion\RunOnce</TargetObject>
        <TargetObject condition="contains">\Policies\Explorer\Run</TargetObject>
      </RegistryEvent>
    </RuleGroup>
    
    
    <RuleGroup groupRelation="or">
      <DnsQuery onmatch="include">
        <QueryName condition="end with">.onion</QueryName>
        <QueryName condition="contains">pastebin</QueryName>
      </DnsQuery>
    </RuleGroup>
  </EventFiltering>
</Sysmon>
```

**更新配置**：
```powershell
# 更新 Sysmon 配置
C:\Sysmon\Sysmon.exe -c C:\Sysmon\config.xml

# 查看当前配置
C:\Sysmon\Sysmon.exe -c
```

### 日志分析

**PowerShell 查询**：
```powershell
# 查看进程创建事件
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | Where-Object {$_.Id -eq 1} | Select-Object -First 10

# 查看网络连接事件
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | Where-Object {$_.Id -eq 3} | Select-Object -First 10

# 查看文件创建事件
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | Where-Object {$_.Id -eq 11} | Select-Object -First 10

# 导出事件
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | Where-Object {$_.Id -eq 1} | Export-Csv -Path C:\sysmon_events.csv -NoTypeInformation
```

---

## 合规检查

### 等保 2.0 审计

**审计要求**：
```
- 身份鉴别审计
- 访问控制审计
- 安全审计功能
- 入侵防范审计
- 恶意代码防范审计
```

**检查脚本**：
```bash
#!/bin/bash
# 等保 2.0 基础检查

echo "=== 等保 2.0 基础安全检查 ==="

# 检查密码策略
echo -e "\n[密码策略检查]"
grep -E "^PASS_MAX_DAYS|^PASS_MIN_DAYS|^PASS_MIN_LEN|^PASS_WARN_AGE" /etc/login.defs

# 检查登录失败处理
echo -e "\n[登录失败处理检查]"
grep -E "deny|fail|unlock" /etc/pam.d/system-auth 2>/dev/null || grep -E "deny|fail|unlock" /etc/pam.d/password-auth 2>/dev/null

# 检查 SSH 配置
echo -e "\n[SSH 配置检查]"
grep -E "^PermitRootLogin|^PasswordAuthentication|^PubkeyAuthentication" /etc/ssh/sshd_config

# 检查审计服务
echo -e "\n[审计服务检查]"
systemctl status auditd 2>/dev/null | grep -E "Active|Loaded"

# 检查文件权限
echo -e "\n[关键文件权限检查]"
ls -la /etc/passwd /etc/shadow /etc/sudoers

echo -e "\n=== 检查完成 ==="
```

### CIS Benchmark 检查

**自动化检查**：
```bash
# 使用 OpenSCAP 进行 CIS 检查
# 安装 OpenSCAP
yum install openscap-scanner scap-security-guide

# 扫描系统
oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_cis \
  --results scan_results.xml \
  --report scan_report.html \
  /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
```

**手动检查项**：
```bash
# 1.1.1 确保挂载点配置了 nodev
grep -E "^/dev/\S+\s+/\s+ext4\s+.*nodev" /etc/fstab

# 1.1.2 确保 /tmp 配置了 noexec
grep -E "^/dev/\S+\s+/tmp\s+ext4\s+.*noexec" /etc/fstab

# 2.1.1 确保 xinetd 服务已禁用
systemctl status xinetd

# 3.1.1 确保 IP 转发已禁用
sysctl net.ipv4.ip_forward
```

---

## 审计分析

### 日志聚合

**集中收集**：
```bash
# 配置 rsyslog 转发审计日志
# /etc/rsyslog.d/audit.conf

# 转发 auditd 日志
if $programname == 'auditd' then @siem.example.com:514

# 转发 Sysmon 日志 (Windows)
# 使用 Winlogbeat 或 NXLog
```

**SIEM 集成**：
```yaml
# Filebeat 配置
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/audit/audit.log
  fields:
    log_type: audit
  fields_under_root: true

- type: log
  enabled: true
  paths:
    - C:\ProgramData\Sysmon\Sysmon.log
  fields:
    log_type: sysmon
  fields_under_root: true

output.elasticsearch:
  hosts: ["elasticsearch:9200"]
  index: "audit-logs-%{+yyyy.MM.dd}"
```

### 异常检测

**可疑活动查询**：
```spl
# Splunk 查询示例

# 多次登录失败
index=audit action=login status=failure
| stats count by user src_ip
| where count > 5

# 敏感文件访问
index=audit file=/etc/passwd OR file=/etc/shadow
| stats count by user action

# 异常命令执行
index=audit syscall=execve
| search command="*wget*" OR command="*curl*" OR command="*nc*"
| stats count by user command
```

**告警规则**：
```yaml
# ElastAlert 规则
name: Suspicious File Access
type: frequency
index: audit-logs-*
num_events: 5
timeframe:
  minutes: 5
filter:
- term:
    file: "/etc/shadow"
alert: email
email: "security@example.com"
```

---

## 总结与思考

### 核心要点回顾

1. **系统审计**：用户活动、系统活动、安全事件
2. **Linux auditd**：文件监控、系统调用、网络监控
3. **Windows 审计**：审计策略、事件 ID、PowerShell 审计
4. **Sysmon**：进程、网络、文件、注册表监控
5. **合规检查**：等保 2.0、CIS Benchmark
6. **审计分析**：日志聚合、异常检测、告警规则

### 深入思考

**审计挑战**：
- 海量日志处理
- 误报与漏报
- 隐私保护
- 存储成本

**发展方向**：
- 自动化分析
- AI 驱动检测
- 实时响应
- 云原生审计

### 最佳实践

**审计配置**：
- 关键系统优先
- 最小必要原则
- 定期审查规则
- 保护审计日志

**合规管理**：
- 持续监控
- 自动化检查
- 定期评估
- 整改跟踪

---

## 参考资料

### 学习资源

- **Linux Audit Documentation**: https://github.com/linux-audit/audit-documentation
- **Sysinternals Sysmon**: https://docs.microsoft.com/sysinternals/downloads/sysmon
- **CIS Benchmarks**: https://www.cisecurity.org/cis-benchmarks

### 工具资源

- **auditd**: 系统自带
- **Sysmon**: https://docs.microsoft.com/sysinternals
- **OpenSCAP**: https://www.open-scap.org
- **Winlogbeat**: https://www.elastic.co/beats/winlogbeat

---

*Day 99 完成 | 系统审计与合规详解 | 字数：约 18,000 字*