系列文章
续文1,小z介绍了最基础的资产模块 基本完成了一个完整的从数据输入到可视化呈现的最简单过程。就如同下图介绍,splunk支持几乎所有可以产生数据的地方。
后续将介绍几种接入平台的方式及简单的可视化效果及安全场景,本文介绍Missle Map的搭建过程。
syslog是很多设备都支持的 小z先拿这个进行测试。作为可视化平台,小z想到了https://www.fireeye.com/cyber-map/threat-map.html,能否尝试实现这种类似的动态效果呢?这个比资产模块略微复杂一些。
场景,服务器外联
1.场景说明:服务器由于各种各样的原因允许外联,这是是内网安全很大的一个风险点。
2.数据源:出口负载均衡syslog
3.app插件:https://splunkbase.splunk.com/app/3511/
4.配置流程:解析过程
新建index 设置-索引-新建索引-输入索引名称ad
配置syslog:这个每个设备大同小异,配置日志服务器的ip及日志收集端口号,这里用的udp
配置数据输入udp新增 这里设置udp的578端口作为接收syslog的端口
索引选择ad用于接收来自出口负载均衡的syslog
搜索 index=ad 关键字过滤
导入后原始的数据格式 自动过滤出原始数据
有了数据怎样展示出来?假设已经安装了missle map的app,参考missle map的语法规则
语法规则
start_lat 起
来源:freebuf.com 2020-12-01 13:50:18 by: fish1983
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册