iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 15
0
Elastic Stack on Cloud

Hey~有聽說資安跟ELK有一腿嗎?系列 第 15

Day15 讓我看看!你都做了些什麼~內對外的網路連線Part2

Hello 大家,
今天下班後就迎接連假了呢~~
中秋連假一家烤肉萬家香,
即使自己沒有烤聞到別人烤也是挺好,
今天就接著昨天講的內外連線的,
昨天已經過濾出了內對外的的連線了,
那我們就要進一步地進行檢視、分析,
所以我們就會用到dashboard的table功能,
我們先把我們篩選的條件設定好,
https://ithelp.ithome.com.tw/upload/images/20200930/20111375mGRLchZEbW.png
然後在旁邊的Buckets中Field設定為內網IP,
把數字設大一點,
這邊設定的Size就是影響他要顯示出來的IP數,
如果設定999最多就會出現999個IP,
https://ithelp.ithome.com.tw/upload/images/20200930/20111375z4ppNRTnzn.png
接著看到顯示的IP結果,
意思是這些IP是有對外連線的,
接著我們就可以決定我們現在要看哪個部分,
我們可以加入URL或是IP進行調查,
新增一個Split row來增加我們要確定的值,
size的部分在這邊就會變成每一個IP最多可以出現幾個結果,
https://ithelp.ithome.com.tw/upload/images/20200930/20111375xUz8E9oqVi.png
如果我IP那個Split row寫的是10就會出現10個IP,
接著在URL的Split row寫5的話,
每一個IP可以出現五筆URL的連線紀錄,
https://ithelp.ithome.com.tw/upload/images/20200930/201113757rGtHgYhvb.png
所以整體的結果最多就是出現50筆,
這個計算方式特別提出來講是因為很多時候我們在查詢的時候忽略了Size,
以至於因為系統跑不動而報錯。
如此一來我們就可以取出有進行內對外連線的IP,
並初步調查這些連線是不是有可疑的行為或異常的連線。


上一篇
Day14 讓我看看!你都做了些什麼~內對外的網路連線Part1
下一篇
Day16 讓我看看!你都做了些什麼~外對內的網路連線
系列文
Hey~有聽說資安跟ELK有一腿嗎?30

尚未有邦友留言

立即登入留言