標籤:nts htm and clear ssd height power 技術分享 des
導語:大多數時候,這些都是以資料行的形式表示的,有時候我以看圖表。當我我看到BloodHound項目時,我感覺我的表徵圖形式顯示比較老舊。我想要同樣的視覺展示。
介紹
我花了很多時間在SIEM裝置中找日誌。大多數時候,這些都是以資料行的形式表示的,有時候我以看圖表。當我我看到BloodHound項目時,我感覺我的表徵圖形式顯示比較老舊。我想要同樣的視覺展示。
在這篇文章中,我想介紹如何使用 Neo4j可視化一些Sysmon日誌。
入門
我快速的Google搜尋,偶然發現這個的文章,我學習了基礎知識。第一步是抓住Neo4j的免費社區版本,可以在這裡找到
安裝完成後,您應該可以瀏覽http://127.0.0.1:7474/browser/訪問Neo4j DB,預設使用者/密碼為neo4j/neo4j,在您在首次登入時更改密碼。
第二步是使用設定檔安裝Sysmon,在以前的文章中我介紹過Sysmon。
準備日誌
現在,已經配置好Sysmon及Neo4j的設定,我們需要將日誌轉換成可以匯入Neo4j的格式。我使用以下的PowerShell指令碼:
這個指令碼建立一個CSV檔案
Import-Module C:UsersAntonDownloadsGet-WinEventData.ps1$File = "C:UsersAntonDesktoplogs.csv"Clear-Content "C:UsersAntonDesktoplogs.csv"Add-Content $File -Value Source","Destination","DestinationPort","Application`n -NoNewline$EventsID3 = Get-WinEvent -FilterHashtable @{logname="Microsoft-Windows-Sysmon/Operational";id=3} | Get-WinEventData | select EventDataSourceIp,EventDataDestinationIp,EventDataDestinationPort,EventDataImageforeach ($Event3 in $EventsID3){ $output = Write-Output $Event3.EventDataSourceIp","$Event3.EventDataDestinationIp","$Event3.EventDataDestinationPort","$Event3.EventDataImage`n Add-Content $File -Value $output -NoNewline}
為了簡單起見,我將檔案放入C:Users<Name>DocumentsNeo4jdefault.graphdbimport目錄中
匯入資料和Cypher查詢
現在有了我們所需格式的檔案,開啟Neo4j介面,並在輸入框中輸入以下命令:
load csv with headers from "file:///logs.csv" AS csvLineCREATE (source:address { address: csvLine.Source })CREATE (destination:addressd { addressd: csvLine.Destination })CREATE (DestinationPort:DestPort { destport: csvLine.DestinationPort })CREATE (application:app { Application: csvLine.Application })CREATE (source)-[:ConnectedTo]->(destination)-[:Using]->(application)-[:OnPort]->(DestinationPort)
第一行載入我們的CSV,
接下來的四個CREATE語句使我們的圖形元素的源地址,目的地址,目標連接埠和應用程式
最後一個CREATE語句構建我們的關係。在這種情況下,我想知道什麼源IP串連到什麼目的地IP以及什麼應用和目標連接埠。
點擊播放按鈕,你應該看到類似於以下內容:
現在我們可以找到感興趣的東西,點擊左側的資料庫表徵圖,然後點擊“關聯類型”下的*表徵圖:
你現在應該看到的關係圖如下:
我們得到一個真正清晰的前端展示與什麼串連到我們的系統。在這種情況下,我們可以看到192.168.1.123串連到204.79.197.200,使用連接埠443上的IE。
執行個體測試
讓我們進一步瞭解一下如何使用它來分析一些惡意活動。
當然Neo4j和這種設定不會提醒你任何惡意的活動
我們可以編寫一個簡單的查詢來查看所有的PowerShell網路連接:
給你一個結果清單
我們可以雙擊來擴充它。現在我們應該看到我們對PowerShell網路活動的攻擊展示:
再次,我們可以清楚地看到192.168.1.123串連到151.101.124.133(Github),通過連接埠443使用PowerShell。
這顯然是一個簡化的例子,但我認為這將是一個超級便利的工具,以獲得一些額外的見解從你的日誌。我在這裡使用Sysmon,因為它提供了非常豐富的資料。
結語
使用Neo4j圖形資料庫,可以很方便的展示進行資料關聯。
如果資料量過大,您可以通過JSON的API與BloodHound一樣提供Neo4j資料庫。
使用Neo4j可視化Windows日誌