freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

自己动手搭建信息安全可视化平台(二)Missle Map
2020-12-01 13:50:18

系列文章

自己动手搭建信息安全可视化平台

续文1,小z介绍了最基础的资产模块 基本完成了一个完整的从数据输入到可视化呈现的最简单过程。就如同下图介绍,splunk支持几乎所有可以产生数据的地方。

后续将介绍几种接入平台的方式及简单的可视化效果及安全场景,本文介绍Missle Map的搭建过程。

syslog是很多设备都支持的 小z先拿这个进行测试。作为可视化平台,小z想到了https://www.fireeye.com/cyber-map/threat-map.html,能否尝试实现这种类似的动态效果呢?这个比资产模块略微复杂一些。

场景,服务器外联

1.场景说明:服务器由于各种各样的原因允许外联,这是是内网安全很大的一个风险点。

2.数据源:出口负载均衡syslog

3.app插件:https://splunkbase.splunk.com/app/3511/

4.配置流程:解析过程

新建index 设置-索引-新建索引-输入索引名称ad

配置syslog:这个每个设备大同小异,配置日志服务器的ip及日志收集端口号,这里用的udp

配置数据输入udp新增 这里设置udp的578端口作为接收syslog的端口

索引选择ad用于接收来自出口负载均衡的syslog

搜索 index=ad 关键字过滤

导入后原始的数据格式 自动过滤出原始数据

有了数据怎样展示出来?假设已经安装了missle map的app,参考missle map的语法规则

语法规则

start_lat 起

本文作者:, 属于FreeBuf原创奖励计划,未经许可禁止转载

# 可视化平台 # Missle Map
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑