還在連假中,就能輕鬆介紹一下支援 Cowrie 的輸出有哪些。
Cowrie 的輸出除了預設的一般 log 檔案及 JSON 格式外,還支援相當多的輸出方式。實作過資料庫可以讓之後更方便處理數據。而現今成熟的完整分析工具不少,可以挑看看哪一個比較適合。
ELK stack 是一套日誌(Log)管理的軟體集合,ELK 名稱由 Elasticsearch、Logstash、Kibana 的縮寫而來,主要功能對應儲存分析、處理及視覺化。拿來比較的同類型產品有 Splunk。
ELK stack 基本功能免費。對進階功能或收費有興趣的可以參考有出書的鐵人賽文章喬叔帶你上手Elastic Stack 系列,非常詳細!
之前介細 T-Pot 時的圖表分析也是 ELK 。
同樣是一套日誌管理的軟體集合。儲存 log 也是使用 Elasticsearch。特點為開源軟體,大部份的功能 (Graylog Open)都是免費的。
kippo 即是 Cowrie 的前身,因此年代也比較久遠,圖表也沒那麼現代化。最新的版本 1.5.1 停留在 2015,建議跳過先試試看別套。
azure 是微軟提供的雲端服務,因此 Azure Sentinel 這套不是軟體,而是屬於「雲端服務」的一種。需要付費使用,比較適合比較大型專案時再考慮。
相關操作與介紹可以參考鐵人賽文章Day21:今天來聊一下Azure Sentinel 介紹
目前看起來與 ELK 都是市場上的主流,只是因為 Splunk 是商業公司,相對於 ELK 開源大部份免費來說,Splunk 則是大部份都要付費。(每日流量500M可免費)。
與其他日誌管理方案比較不同,只是單純的儲存在資料庫當中,方便後續的開發。
如果考慮到開源,可以使用 MariaDB,參考Honeypot #14 將 Cowrie 輸出到 MySQL(MariaDB) - 安裝 MariaDB
Cowrie 最新支援的輸出方式。與其他的管理日誌不同,Threat Jammer 是一個比較簡單的 API 型的「雲端服務」,會固定將收集到的 IP 送到 Threat Jammer 後台,然後再手動使用指令獲取分析的結果,並沒有優美的圖表。
Threat Jammer 官網也能直接手動查詢 IP 的風險值。
官方文件
今夜,先來個開場,什麼是 ELK Stack?
開源記錄集中管理系統:Graylog (一)
kippo-graph 圖表範例
Day21:今天來聊一下Azure Sentinel 介紹
用Splunk簡化數據分析系統製作流程
喬叔教 Elastic - 16 - Elastic Cloud 比免費版還多的功能 (1/6) - Elastic Stack 的方案比較與銷售方式
開源Graylog統整報表 跨越設備日誌格式鴻溝(上)