第三天《NSM 03: 網路安全監控概論之三》提到常見的資料處理週期包括資料收集Collection、偵測Detection和分析Analysis，現在NetMon已經開始監控網路流量，收集資料，接下來我們要從NetMon封包擷取收集到的資料開始，藉由不同的內建儀表板，幫助我們偵測、分析。這階段的分析需要持續不斷地問：這是什麼？它應該出現嗎？它應該在這個時間點出現嗎？從工具收集的資料幫助我們了解網路環境，找出異常的行為或狀態，才能更進一步分析。

不明應用程式

首先點選右上方小小的資料夾圖示 Load Saved Dashboard，接著便會看到很多不同內建的儀表板。我們來選擇Application Exploration Dashboard。

如下圖所示，儀表板分為幾個大區域：左上區域以條形圖顯示每個時間點各程式流量，右上區域以餅形圖顯示各類別程式流量。左邊是個別程式，例如Skype、Teams、AIM等等，右邊則會歸納為同一個Instant Messaging類別；下方則是個別Session的詳細資料，可以展開看元資料Metadata

從這個儀表板著手是因為FreeMon本身從網路流量歸納出Metadata，列出應用程式和種類，我們可以藉由觀察這個儀表板，找出網路環境中的不明應用程式，例如儀表板有出現office365，這是什麼？我們知道是使用office365會出現的流量，但是它應該出現嗎？如果網路環境中沒有使用這個程式卻出現流量，難道不可疑嗎？如果出現TeamVIewer流量但是公司明明沒有用TeamViewer，難道不該起警覺心嗎？可以針對該流量的session檢視metadata，甚至進一步檢視PCAP，分析PCAP內容。

即使是正常的程式，出現的時間點不對，也是值得深入調查的異常狀況。如果儀表版在下班時間後顯示Skype的流量，這是真的有員工還在公司使用Skype呢？還是有人藉由Skype傳輸外洩檔案呢？如果下班時間出現FTP流量，或者SMB流量，又是誰在傳輸檔案呢？

異常網路流量

透過儀表板，我們可以選擇不同時間軸，如下圖顯示選擇最近30分鐘、當天、當月等等不同時間軸，根據程式的平日流量建立baseline基準，藉此偵測異常流量。

假設網路環境裡有使用office365，但是依據以往監控流量的經驗，發現忽然流量遠遠超過以往baseline基準；或者平時流量起伏頗為規律，忽然在異於往常的時間點暴增或遽減，都是需要進一步檢視分析的異常狀態。我們也可從流量監控中找出影響工作效率的活動，例如youtube、amazon video、Netflix等等。

除了Application Exploration Dashboard，另一個Analyze Dashboard 也可以檢視網路流量，甚至直接輸入想檢索的session，儀表板會顯示對應的搜尋結果。譬如想看過去15分鐘的FTP流量和session，直接在儀表板輸入FTP即可；也可以勾選左邊的metadata欄目做進一步搜尋過濾，方便呈現資料。

異常網路行為

當我們選擇如下圖的Destination Dashboard，可以看到Port 通訊埠和Protocol 協定，藉由觀察Port 通訊埠和Protocol 協定，可以針對不應該出現的Port和Protocol深入調查，例如IRC流量；或者與Malware indicator 比對，藉此偵測C2 ﹝command and control命令與控制）流量；即使是正常使用的Port和Protocol，如果有高於平時baseline基準的流量也值得調查，例如入侵者可能利用DNS傳輸進行惡意行為，或者用ICMP去ping其他設備意圖橫向感染，試著用telnet登入等等，所以看到異常的流量也需要加以調查。

今天簡單介紹幾個常用的儀表板，憑視覺化呈現的資料進行分析、偵測。接下來會介紹NetMon怎麼進行Deep Packet Inspection (深度包檢測)。文末附上一篇BLOG，看看他是如何用NetMon監控家裡的IoT設備。

Deploying NetMon Freemium at Home to Monitor IoT Devices
https://logrhythm.com/blog/deploying-netmon-freemium-at-home-to-monitor-iot-devices/