网络安全可视化dashboard(网络安全可视化溯源回放)

GeoIP（地理位置IP）攻击地图可视化工具—实时显示企业网络攻击的工具。数据服务器跟随syslog文件，并解析源IP、目的IP、源端口和目的端口。通过创建端口确定协议，可视化地图根据协议类型以不同颜色显示。演示视频地址戳这里。要不是Sam Cappella，我们也会无法看到这样的工具。 Sam Cappella在2015年帕尔梅托网络防御大赛（Palmetto Cyber Defense Competition）上创建了网路防御大赛网络流量可视化工具。本文主要通过他的代码作为参考，但在创建显示服务器时借用了一些函数，以及该网络网页应用的视觉要素。

此程序主要依赖syslog，因为所有设备格式不同，需要自定义日志解析函数。如果企业使用安全信息和事件管理系统（SIEM），syslog可以使日志规格化，从而节省大量编写正则表达式的时间。1.发送所有syslog到SIEM；2.使用SIEM使日志规格化；3.将规格化日志发送至运行该软件的设备（运行syslog-ng的Linux设备都可以），以便数据服务器进行解析。

　　演示视频 安装

运行以下命令，安装所有必需相关项（在Ubuntu 14.04 x64上测试）

　　设置

1. 如果你打算在不同设备上（而不是AttackMapServer）运行DataServer，确保在/etc/redis/redis.conf中将bind 127.0.0.1更改为bind 0.0.0.0。

2. 确保/AttackMapServer/index.html 中的WebSocket地址指向AttackMapServer的IP地址，以便浏览器知道WebSocket的地址。

3. 下载MaxMind GeoLite2数据库，并将DataServer.py中的db_path变量更改为存储数据库的地址。

o ./db-dl.sh

4. 将latitude/longitude添加到index.html中的hqLatLng变量。

5. 使用syslog-gen.sh模拟虚拟的流量“out of the box（立即可用）”。

重要：切记，个性化解析函数后，该代码只能在开发环境正确运行。默认解析函数只解析./syslog-gen.sh流量。

下载GeoIP的攻击地图：https://github.com/MatthewClarkMay/geoip-attack-map

原文地址：https://www.easyaq.com/newsdetail/id/1901553104.shtml

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。