iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 4
0
Elastic Stack on Cloud

Hey~有聽說資安跟ELK有一腿嗎?系列 第 4

Day04 正式來使用一下Kibana吧

Hello 各位
結束了完美的一天露營,
大推大家到苗栗露營,
宇宙無敵舒壓XDD
就讓我在樹樹草草圍繞的情況下完成今天的文章吧!
這裡真的美炸天
https://ithelp.ithome.com.tw/upload/images/20200919/20111375ZvORqCgcWh.jpg

###從何開始用起呢?
話說回來我著重的重點目前的規劃基本上都會著重在“Discovery”這裡我們可以怎麼去看
Kibana有一個重點是要視覺化,
這其中的重點一來是要凸顯我們每次調查最重要的部分,
二來是要讓老闆可以一眼就知道我們目前在某些條件下有什麼的狀況,
不同的數據結構需要用不同的形式表示才能更好的顯現這些內容,
至於呈現的做法呢則是在“Dashboard”進行處理,
https://ithelp.ithome.com.tw/upload/images/20200918/20111375axV5myjfy8.png
這塊則會是我的另一位小夥伴帶大家完成,
有興趣的同學未來可以參考@xxxb83的文章。

###今天我想來點IP的過濾
我在做調查的時候,
最常用使用到的資料就是IP Address,
這條Log自哪裡到哪裡,
如果你有知道的IP你就可以在搜尋列作初步的尋找,
https://ithelp.ithome.com.tw/upload/images/20200918/201113753TbZi0wKfN.png
這邊以搜尋246.139.130.246為例,
有被搜尋到的就會出現黃黃的底色方便我們辨識他是存在於哪個欄位,
又或是你可以直接按放大鏡加入篩選,
https://ithelp.ithome.com.tw/upload/images/20200918/201113759YhAcxSJph.png
“+”號的放大鏡是篩選出此欄位有符合此條件的Log;
“—”號的放大鏡是過濾掉此欄位有符合條件的Log,
光是IP這件事情我們能整理的事情主要分幾個:

  • 有多少IP連線至指定IP
  • 一個區間內IP對某個網站的連線次數
  • 某IP的總Session量有多少
  • 某IP造訪過了哪些網站
    等等
    在不同的情境下會用到不同的統計方式,
    這部分在Discovery是可以確認是否有出現過這樣的行為,
    統計方面則需要再Dashboard畫出來才能夠直覺的看出來。

上一篇
Day03 讓我們來看看ELK的Kibana裡面長怎樣~
下一篇
Day05 利用Kibana來尋找有風險的Port(埠)
系列文
Hey~有聽說資安跟ELK有一腿嗎?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言