昨天介紹洋蔥料理Sguil，查詢警示與session資料，雖然可以做為即時警示資料版，將警示資料歸類，但是Security Onion是否有更為便利的圖形介面方便分析呢？我們看Security Onion的桌面：

Squert

Squert 便是以瀏覽器存取Sguil資料庫內資料的方式，增加視覺化功能，可以直接點選桌面圖示Squert，或是點選README主頁，點選主頁連結開啟，或者直接在瀏覽器輸入

https: //localhost/squert/

localhost 這裡要輸入Security Onion的IP位址。開啟後我們看到Squert以視覺化呈現數種資料。

Kibana

另一個 視覺化的圖形介面是Kibana，同樣可以直接點選桌面圖示Kibana，或是點選README主頁，點選主頁連結開啟，或者直接在瀏覽器輸入

https: //localhost/app/kibana

注意在面版裡，左邊也有選項開啟Squert，無縫整合兩個面版，方便分析。Kibana有豐富的視覺化界面，方便查詢搜索，在Dashboard裡可以憑Protocol協定查詢，例如查看所有DNS相關資料，所有SNMP相關資料等等；在Visualize選項裡面有很多不同的內建樣本，協助我們呈現資料；Discover讓我們輸入查詢字串，利用Logstash的強大檢索能力查詢資料；Timelion則是讓我們以時間軸檢視資料，可以進行behavior-based 分析，建立基準baseline，藉由觀察特定時間點或整體流量發現異常流量和行為，例如深夜原本應該平靜無事的網路卻出現異常DNS流量，便需要進一步分析調查。

CyberChef

今年 (2018)2月，Security Onion工具寶箱裡多了新成員：CyberChef。 ﹝資安廚師？﹞CyberChef 號稱「Cyber Swiss Army Knife」，多功能的資安瑞士刀可以迅速轉換格式、內容、加密解密、解壓縮、解析IPv6地址、解碼Base64字元串等等，轉換不同格式的數據操作，幫助分析。我們可以從主頁中的連結點選CyberChef，或是直接在瀏覽器輸入：

https: //localhost/cyberchef/cyberchef.htm

CyberChef介面右上方為Input欄位，右下方為Output欄位，便是讓我們輸入資料和呈現結果；左側是想要選擇的操作方式，叫做Recipe食譜，看我們這個資安廚師想怎麼料理眼前的資料；中間是選擇用什麼參數和選項方式來處理數據，如下圖所示，我們選擇操作Format MAC Address，改變MAC位址格式，

在右上欄位輸入MAC位址14-2A-E3-09-6C-5F，選擇Recipe食譜 為「Format MAC address」，選好參數，右下欄位便會產生結果，照我們選擇的參數列出不同格式的MAC位址。

其他還有好多好多不同的Recipe食譜，例如轉換資料To Base64、轉換URL資料去除%符號、將資料用MD5進行Hashing等等，功能非常多，可以慢慢玩，文末附上我找到的一個簡短的示範影片Cooking with CyberChef，想要試玩卻沒有安裝Security Onion，也可以點選文末的連結CyberChef Live Demo測試廚藝。

CyberChef Live Demo
https://gchq.github.io/CyberChef/

Cooking with CyberChef
https://youtu.be/eqbTQpGSR7g