本文講的是<b>使用Neo4j可視化Windows日志</b>,
介紹
我花了很多時間在SIEM裝置中找日志。大多數時候,這些都是以資料行的形式表示的,有時候我以看圖表。當我我看到BloodHound項目時,我感覺我的圖示形式顯示比較老舊。我想要同樣的視覺展示。
在這篇文章中,我想介紹如何使用 Neo4j可視化一些Sysmon日志。
入門
安裝完成後,您應該可以浏覽http://127.0.0.1:7474/browser/通路Neo4j DB,預設使用者/密碼為neo4j/neo4j,在您在首次登入時更改密碼。
準備日志
現在,已經配置好Sysmon及Neo4j的設定,我們需要将日志轉換成可以導入Neo4j的格式。我使用以下的PowerShell腳本:
這個腳本建立一個CSV檔案
為了簡單起見,我将檔案放入C:Users<Name>DocumentsNeo4jdefault.graphdbimport目錄中
導入資料和Cypher查詢
現在有了我們所需格式的檔案,打開Neo4j界面,并在輸入框中輸入以下指令:
第一行加載我們的CSV,
接下來的四個CREATE語句使我們的圖形元素的源位址,目的位址,目标端口和應用程式
最後一個CREATE語句建構我們的關系。在這種情況下,我想知道什麼源IP連接配接到什麼目的地IP以及什麼應用和目标端口。
點選播放按鈕,你應該看到類似于以下内容:
現在我們可以找到感興趣的東西,點選左側的資料庫圖示,然後點選“關系類型”下的*圖示:
你現在應該看到的關系圖如下:
我們得到一個真正清晰的前端展示與什麼連接配接到我們的系統。在這種情況下,我們可以看到192.168.1.123連接配接到204.79.197.200,使用端口443上的IE。
執行個體測試
讓我們進一步了解一下如何使用它來分析一些惡意活動。
當然Neo4j和這種設定不會提醒你任何惡意的活動
我們可以編寫一個簡單的查詢來檢視所有的PowerShell網絡連接配接:
給你一個結果清單
我們可以輕按兩下來擴充它。現在我們應該看到我們對PowerShell網絡活動的攻擊展示:
再次,我們可以清楚地看到192.168.1.123連接配接到151.101.124.133(Github),通過端口443使用PowerShell。
這顯然是一個簡化的例子,但我認為這将是一個超級便利的工具,以獲得一些額外的見解從你的日志。我在這裡使用Sysmon,因為它提供了非常豐富的資料。
結語
使用Neo4j圖形資料庫,可以很友善的展示進行資料關聯。
如果資料量過大,您可以通過JSON的API與BloodHound一樣提供Neo4j資料庫。
原文釋出時間為:2017年7月31日
本文作者:愣娃
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/technology/6875.html" target="_blank">原文連結</a>