iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 12
0
Elastic Stack on Cloud

Hey~有聽說資安跟ELK有一腿嗎?系列 第 12

Day12 讓我看看!你都做了些什麼~常見查詢Part1

Hello 大家,
南部真的好熱!
一整天都很躁動靜不下來,
儘管如此我們還是來看一下防火牆的Log我們有哪些開啟方式吧!

首先通常我都是收到一些消息說去查哪個IP有去過哪,
或是說有個網站有問題,
調查一下有哪些IP有連過,
那很簡單第一件事情我都會先Search一下,
這個IP到底有沒有在防火牆出現過,
先不要管IP做了什麼只管是否存在,
如果出現了這個,
https://ithelp.ithome.com.tw/upload/images/20200927/201113751m1DE5yNgD.png
OK調查終止,
根本沒有相關的資訊!
但如果IP是存在的那我們就要看你今天是需要去進行怎樣的調查,
第一種:這IP平時都用在幹嘛?
定義一下什麼叫"在幹嘛"?

  1. 訪問哪些網站
  2. 使用哪些Application
  3. 使用了哪些Port
    https://ithelp.ithome.com.tw/upload/images/20200927/20111375QzRRznEIGi.png
    可以看到24小時內有24,006個跟這根IP有關的連線,
    接著我們就可以針對先看有相關的內容的Field去看,
    比如說URLApplicationDestPort
    欄位名稱依照各家廠牌以及Data Engineer的設定都會有有所不同,
    所以就依照大家所需進行檢視,
    https://ithelp.ithome.com.tw/upload/images/20200927/20111375Ul7VDc1yei.png
    看Port
    https://ithelp.ithome.com.tw/upload/images/20200927/20111375PN1D1GkkOF.png
    看Appliction
    https://ithelp.ithome.com.tw/upload/images/20200927/20111375vheI70f39L.png
    看URL
    藉由這種方式讓我們先掌握初步的資訊!

上一篇
Day11 Kibana的Query DSL Part5
下一篇
Day13 讓我看看!你都做了些什麼~常見查詢Part2
系列文
Hey~有聽說資安跟ELK有一腿嗎?30

尚未有邦友留言

立即登入留言