GeoIP(地理位置IP)攻击舆图可视化工具—及时表现企业网络攻击的工具。数据服务器跟随syslog文件,并分析源IP、目标IP、源端口和目标端口。通过创建端口确定协议,可视化舆图根据协议范例以差别颜色表现。演示视频地点戳这里。要不是SamCappella,我们也会无法看到如许的工具。SamCappella在2015年帕尔梅托网络防御大赛(PalmettoCyberDefenseCompetition)上创建了网路防御大赛网络流量可视化工具。本文重要通过他的代码作为参考,但在创建表现服务器时借用了一些函数,以及该网络网页应用的视觉要素。
此程序重要依靠syslog,由于全部装备格式差别,必要自界说日记分析函数。假如企业利用安全信息和变乱管理体系(SIEM),syslog可以使日记规格化,从而节流大量编写正则表达式的时间。1.发送全部syslog到SIEM;2.利用SIEM使日记规格化;3.将规格化日记发送至运行该软件的装备(运行syslog-ng的Linux装备都可以),以便数据服务器举行分析。
演示视频安装
运行以下下令,安装全部必须相干项(在Ubuntu14.04x64上测试)
设置
1.假如你筹划在差别装备上(而不是AttackMapServer)运行DataServer,确保在/etc/redis/redis.conf中将bind127.0.0.1更改为bind0.0.0.0。
2.确保/AttackMapServer/index.html中的WebSocket地点指向AttackMapServer的IP地点,以便欣赏器知道WebSocket的地点。
3.下载MaxMindGeoLite2数据库,并将DataServer.py中的db_path变量更改为存储数据库的地点。
o./db-dl.sh
4.将latitude/longitude添加到index.html中的hqLatLng变量。
5.利用syslog-gen.sh模仿假造的流量“outofthebox(立即可用)”。
紧张:牢记,个性化分析函数后,该代码只能在开辟环境精确运行。默认分析函数只分析./syslog-gen.sh流量。
下载GeoIP的攻击舆图:https://github.com/MatthewClarkMay/geoip-attack-map
原文地点:https://www.easyaq.com/newsdetail/id/1901553104.shtml
E安全注:本文系E安全独家编译报道,转载请接洽授权,并保存出处与链接,不得删减内容。接洽方式:①微信号zhu-geliang②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和财产服务平台,逐日提供优质环球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全流派网站www.easyaq.com,查察更多出色内容。
CopyrightYourWebSite.SomeRightsReserved.
京ICP备2023016396号PoweredByESCLINK.
我要评论