SOC日志可视化工具:SOC Sankey Generator

栏目: IT技术 · 发布时间: 4年前

内容简介:作者身处甲方公司,有幸近两次参与到攻防演练行动当中,在这两次行动中也帮助公司逐步建立起来了一套SOC平台,完成对接了NGFW、IDS、APT、WAF、终端安全等安全设备并投入运营,运营过程中发现一个痛点没有得到很好的解决。在演练期间,公司领导每天会抽出5分钟时间听防守小组汇报,SOC平台所能展示的内容过于复杂与专业,不能很好地表达与反应当日的安全攻击态势,于是诞生出这个造轮子的想法。SOC Sankey Generator是一款从SOC日志中进行数据ETL与数据可视化的工具,可以快速将日志呈现为Sankey

前言

作者身处甲方公司,有幸近两次参与到攻防演练行动当中,在这两次行动中也帮助公司逐步建立起来了一套SOC平台,完成对接了NGFW、IDS、APT、WAF、终端安全等安全设备并投入运营,运营过程中发现一个痛点没有得到很好的解决。在演练期间,公司领导每天会抽出5分钟时间听防守小组汇报,SOC平台所能展示的内容过于复杂与专业,不能很好地表达与反应当日的安全攻击态势,于是诞生出这个造轮子的想法。

简介

SOC Sankey Generator是一款从SOC日志中进行数据ETL与数据可视化的工具,可以快速将日志呈现为Sankey图,Sankey图常常应用于具有 数据流向关系的可视化分析 ,在安全中适合描述源对目标发起了何种攻击事件,适用于演练行动中防守方每日汇报;也适用于日常安全运营中编写安全日报、周报、月报。欢迎各位Star,Fork、Issue、PR(GitHub:  https://github.com/LennyLeng/SOC_Sankey_Generator

环境&依赖

 python3
 pandas(必选,用于处理csv)
 pyinstaller(可选,exe打包用)

用法

将日志文件整理成表头为: 源地址,目的地址,事件名称,事件数 的CSV格式文件,放于csv目录下 运行mian.py或者main.exe按提示输入完成数据处理,最后浏览器访问  http://127.0.0.1:8900 即可。

展示

SOC日志可视化工具:SOC Sankey Generator

过滤器用法

工具 支持包含与排除两种正则过滤器,主要用于过滤误报或者需要特别关注某些ip、事件的情况。请在conf目录下的filter.csv文件中进行配置。配置说明为:

第一列:过滤模式[in=包含,ex=排除]

第二列:字段列号[0=源地址,1=目的地址,2=攻击方式]

第三列:匹配值[正则匹配]

第四列:备注

例如:

ex,0,114.114.114.114,备注

为:排除源地址是114.114.1114.114的事件

in,2,暴力破解,备注

为:仅查看事件名称中包含暴力破解的事件

当过滤器文件内容发生改动时,工具会自动对数据进行重新整理,可直接刷新网页页面。

说在最后

关于我们的效果:现在我们每天会利用此工具导出三张图(全量图、外部IP攻击图、活跃弱口令图)形成较为直观安全日报,其中外部IP攻击图、活跃弱口令图通过过滤器进行提取。向上提交公司CISO审阅,向下通过内部交流工具进行通报整改闭环。

*本文作者:lenny,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《SOC日志可视化工具:SOC Sankey Generator》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

免费

免费

[美] 克里斯·安德森 / 蒋旭峰、冯斌、璩静 / 中信出版社 / 2009-9 / 39.00

在《免费:商业的未来 》这本书,克里斯·安德森认为,新型的“免费”并不是一种左口袋出、右口袋进的营销策略,而是一种把货物和服务的成本压低到零的新型卓越能力。在上世纪“免费”是一种强有力的推销手段,而在21世纪它已经成为一种全新的经济模式。 究竟什么是免费商业模式?根据克里斯·安德森的说法,这种新型的“免费”商业模式是一种建立在以电脑字节为基础上的经济学,而非过去建立在物理原子基础上的经济学。......一起来看看 《免费》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

在线进制转换器
在线进制转换器

各进制数互转换器

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器