基础设施攻击日志记录 – 第3部分:Graylog仪表板

2018-04-02 8,014

Graylog仪表板:

Graylog仪表板允许你从基础结构的日志中构建可视汇总或快速统计。并且你希望在仪表板上显示的数据类型几乎没有限制。

设置仪表板:

前往仪表板菜单并点击“ 创建仪表板”。为仪表板命名,给它添加一个描述并保存。

new_dashboard-768x361.png

perfect!我们有一个新的空的仪表板。接下来,我们将添加一些小部件。

将小部件添加到仪表板:

从Graylog搜索MENU窗口,可以将搜索到的小部件添加到你的仪表盘。你可以添加统计值,搜索结果数量,IP地址地理位置信息(稍后详细介绍)等等。

你的有效载荷服务器的请求字段会被添加至控制台,并被分析。这可以让您看到您的有效载荷在特定时间段内被下载了多少次。

前往你的搜索菜单,并在搜索框中输入“ source:payload_server_hostname ”,选择一个你想搜索的时间段并按回车。在下面的例子中,我的有效载荷服务器的主机名是“ payload ”,我正在搜索最后一天内的所有日志。

search_payload.png

接下来,滚动到搜索框下方的字段菜单中的“ request”复选框,展开它并点击“Quick values ”

quick_values1.png

Graylog会自动为您生成值,包括漂亮的饼图 和百分比。我们可以看到evil.hta在过去24小时内已经下载了18次。

payload_statisics.png

要将其添加到仪表板,只需点击小部件右上角的添加至仪表板按钮即可。

你可以根据需要为任意数量的字段和日志源重复此过程。例如,如果你想查看由您的某个重定向器生成的顶级HTTP响应,只需更改搜索以匹配特定的重定向器(例如source:redirector1),并且这次扩展响应字段。

response_quick_values.png

再次点击快速值,让Graylog为你做所有的辛苦工作。

response_quick_values2.png

有了一点想象力 ,当报告日出现时,你可以看到一个看上去很好看的仪表板,以打动你的同事和客户。您使用Graylog的搜索查询越舒适,您可以通过仪表板小部件获得更多创意。

一些要添加到仪表板的小部件示例:

  • 顶级IP地址与您的网络服务器进行交互。

  • 邮件服务器统计信息,例如邮件发送

  • 日志成功的钓鱼。

  • 主要国家与您的基础设施进行交互。

  • SSH登录到您的基础架构资产。

  • 失败的登录尝试/蛮力攻击。

地理位置:

面对现实吧; 在交互式世界地图上实时地理定位IP地址非常酷。我并不感到羞愧,承认这是我建立集中式采伐的主要动机之一; 谁不想看起来像所有电影中的黑客之一?

下一节将快速介绍如何使用Graylog的地理位置功能将世界地图添加到仪表板。

你需要下载MaxMind的Geolite2城市数据库

cd / etc / graylog / server 
sudo wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.tar.gz 
sudo tar xvf GeoLite2-City.tar.gz

注意:确保数据库文件可以被Graylog读取。

接下来,我们需要启用Graylog的地理位置功能。前往系统 → 配置菜单并点击地理位置处理器插件部分的更新按钮。

update_geolocation-768x179.png

启用地理位置处理器并输入你的地理位置数据库的完整路径。

geodatabase_path.png

一旦启用了位置处理器,单击消息处理器配置部分下的更新。

message_processor_config-768x305.png

在下一个屏幕中,启用GeoIP解析器并将其标签拖到消息处理器列表的底部。一旦完成,您的配置应该与下面的配置类似:

config_geolocation_proc-768x760.png

我们完成了。Graylog应自动从专门包含IP地址的日志字段中提取地理位置信息。

要测试它,请转到搜索菜单并从任何您知道包含IP地址的来源搜索日志,例如Apache Web请求。您应该在Fields菜单中看到IP_geolocation复选框。展开它并点击世界地图。

ip_world_map.png

你应该看到所有与你的日志源交互的IP地址在世界地图上弹出。你现在可以像其他任何小部件一样将其添加到仪表板。

world_map-1024x361.png

结论:

差不多了。在最后的帖子这个博客系列,我将演示了如何使用Graylog的预警功能来发送攻击基础设施相关的事件懈怠。

参考:

http://docs.graylog.org/en/2.4/pages/dashboards.html

http://docs.graylog.org/en/2.4/pages/geolocation.html

http://docs.graylog.org/en/2.4/pages/dashboards.html#widget-types

http://docs.graylog.org/en/2.4/pages/queries.html


原文链接:https://thevivi.net/2018/03/23/attack-infrastructure-logging-part-3-graylog-dashboard-101/


本文作者:安识科技

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/70149.html

Tags:
评论  (0)
快来写下你的想法吧!

安识科技

文章数:190 积分: 135

安识科技:专业的企业安全解决方案提供商。官网:https://www.duoyinsu.com/

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号