應用場景:ssh日誌視覺化分析
說起日誌視覺化,聽上去高大上,實現起來不是進過繁瑣配置就是需要寫**,這一目標小白的確門檻有些高,其實不然,只要你選對平台,實現起來很容易。
下面是從若干條ssh日誌中隨機抽取的一條,我們能從中發現何種端倪?
mar 17 01:47:21 10.x.y.z sshd[14845]: failed password for root from 1x.1y.z.z port 59562 ssh2一般而言我們從上面的日誌能了解到時間、ip位址、埠號,程序名等常規資訊,再也看不出更深入的東西,如果是成千上萬條類似這種資訊,我們需要花費多長時間來分析?結論是否客觀?我想每個人心中都會有答案。下面帶著疑問我們先看看ossim的分析結果:
特徵:口令驗證失敗
時間:間隔非常密集,到底密集到什麼程度?接下來我們用siem控制台下的timeline功能進行量化。
源位址、目的位址、源埠、目的埠 使用者名稱、風險值等等。
下面的時間線分析,將直觀的看出每秒***的次數。
好了,我們再去仔細觀察經過歸一化處理後的ssh暴力破解的安全事件內容。
這裡直觀的告訴我們***型別,次數持續時間,ip位址所屬國家,甚至可以在谷歌地圖上精確定位ip
接下來我們在啟動全域性報警圖上找到這類ssh暴力破解報警資訊。
還可在儀錶盤上,輕鬆的展示出這類報警所佔比例,便於安全人員更深入分析這次安全事件發生發展及一些因果關係。
好了,僅一條ssh口令認證失敗的日誌資訊牽扯出如此多的內容,下面還有更多的日誌等著我們分析... ...例如視覺化網路風險分析,視覺化***事件分析等...
輕鬆搞定日誌的視覺化(第一部分)
應用場景 ssh日誌視覺化分析 說起日誌視覺化,聽上去高大上,實現起來不是進過繁瑣配置就是需要寫 這一目標小白的確門檻有些高,其實不然,只要你選對平台,實現起來很容易。下面是從若干條ssh日誌中隨機抽取的一條,我們能從中發現何種端倪?mar 17 01 47 21 10.x.y.z sshd 148...
輕鬆搞定日誌的視覺化(第一部分)
原始出處 作者資訊和本宣告。否則將追究法律責任。應用場景 ssh日誌視覺化分析 說起日誌視覺化,聽上去高大上,實現起來不是進過繁瑣配置就是需要寫 這一目標小白的確門檻有些高,其實不然,只要你選對平台,實現起來很容易。下面是從若干條ssh日誌中隨機抽取的一條,我們能從中發現何種端倪?mar 17 01...
Axure RP 第一部分
axure rp是乙個專業的快速原型設計工具。axure 發音 ack sure 代表美國axure公司 rp則是rapid prototyping 快速原型 的縮寫。axure rp是美國axure software solution公司旗艦產品,是乙個專業的快速原型設計工具,讓負責定義需求和規格...