使用Neo4j可視化Windows日誌

標籤：nts   htm   and   clear   ssd   height   power   技術分享   des   

導語：大多數時候，這些都是以資料行的形式表示的，有時候我以看圖表。當我我看到BloodHound項目時，我感覺我的表徵圖形式顯示比較老舊。我想要同樣的視覺展示。

 

介紹

我花了很多時間在SIEM裝置中找日誌。大多數時候，這些都是以資料行的形式表示的，有時候我以看圖表。當我我看到BloodHound項目時，我感覺我的表徵圖形式顯示比較老舊。我想要同樣的視覺展示。

在這篇文章中，我想介紹如何使用 Neo4j可視化一些Sysmon日誌。

入門

我快速的Google搜尋，偶然發現這個的文章，我學習了基礎知識。第一步是抓住Neo4j的免費社區版本，可以在這裡找到

安裝完成後，您應該可以瀏覽http://127.0.0.1:7474/browser/訪問Neo4j DB，預設使用者/密碼為neo4j/neo4j，在您在首次登入時更改密碼。

第二步是使用設定檔安裝Sysmon，在以前的文章中我介紹過Sysmon。

準備日誌

現在，已經配置好Sysmon及Neo4j的設定，我們需要將日誌轉換成可以匯入Neo4j的格式。我使用以下的PowerShell指令碼：

這個指令碼建立一個CSV檔案

 

Import-Module C:UsersAntonDownloadsGet-WinEventData.ps1$File = "C:UsersAntonDesktoplogs.csv"Clear-Content "C:UsersAntonDesktoplogs.csv"Add-Content $File -Value Source","Destination","DestinationPort","Application`n -NoNewline$EventsID3 = Get-WinEvent -FilterHashtable @{logname="Microsoft-Windows-Sysmon/Operational";id=3} | Get-WinEventData | select EventDataSourceIp,EventDataDestinationIp,EventDataDestinationPort,EventDataImageforeach ($Event3 in $EventsID3){   $output = Write-Output $Event3.EventDataSourceIp","$Event3.EventDataDestinationIp","$Event3.EventDataDestinationPort","$Event3.EventDataImage`n   Add-Content $File -Value $output -NoNewline}

為了簡單起見，我將檔案放入C:Users<Name>DocumentsNeo4jdefault.graphdbimport目錄中

匯入資料和Cypher查詢

現在有了我們所需格式的檔案，開啟Neo4j介面，並在輸入框中輸入以下命令：

 

load csv with headers from "file:///logs.csv" AS csvLineCREATE (source:address { address: csvLine.Source })CREATE (destination:addressd { addressd: csvLine.Destination })CREATE (DestinationPort:DestPort { destport: csvLine.DestinationPort })CREATE (application:app { Application: csvLine.Application })CREATE (source)-[:ConnectedTo]->(destination)-[:Using]->(application)-[:OnPort]->(DestinationPort)

第一行載入我們的CSV，

接下來的四個CREATE語句使我們的圖形元素的源地址，目的地址，目標連接埠和應用程式

最後一個CREATE語句構建我們的關係。在這種情況下，我想知道什麼源IP串連到什麼目的地IP以及什麼應用和目標連接埠。

點擊播放按鈕，你應該看到類似於以下內容：

現在我們可以找到感興趣的東西，點擊左側的資料庫表徵圖，然後點擊“關聯類型”下的*表徵圖：

你現在應該看到的關係圖如下：

我們得到一個真正清晰的前端展示與什麼串連到我們的系統。在這種情況下，我們可以看到192.168.1.123串連到204.79.197.200，使用連接埠443上的IE。

執行個體測試

讓我們進一步瞭解一下如何使用它來分析一些惡意活動。

當然Neo4j和這種設定不會提醒你任何惡意的活動

我們可以編寫一個簡單的查詢來查看所有的PowerShell網路連接：

給你一個結果清單

我們可以雙擊來擴充它。現在我們應該看到我們對PowerShell網路活動的攻擊展示：

再次，我們可以清楚地看到192.168.1.123串連到151.101.124.133（Github），通過連接埠443使用PowerShell。

這顯然是一個簡化的例子，但我認為這將是一個超級便利的工具，以獲得一些額外的見解從你的日誌。我在這裡使用Sysmon，因為它提供了非常豐富的資料。

結語

使用Neo4j圖形資料庫，可以很方便的展示進行資料關聯。

如果資料量過大，您可以通過JSON的API與BloodHound一樣提供Neo4j資料庫。

  

使用Neo4j可視化Windows日誌