2. 程式人生 > >使用Neo4j可視化Windows日誌

使用Neo4j可視化Windows日誌

阿新 發佈:2017-08-12
搜索 post 簡單 desktop .so 安裝完成 win com 擴展

導語:大多數時候,這些都是以數據行的形式表示的,有時候我以看圖表。當我我看到BloodHound項目時,我感覺我的圖標形式顯示比較老舊。我想要同樣的視覺展示。

介紹

我花了很多時間在SIEM設備中找日誌。大多數時候,這些都是以數據行的形式表示的,有時候我以看圖表。當我我看到BloodHound項目時,我感覺我的圖標形式顯示比較老舊。我想要同樣的視覺展示。

在這篇文章中,我想介紹如何使用 Neo4j可視化一些Sysmon日誌。

入門

我快速的谷歌搜索,偶然發現這個的帖子,我學習了基礎知識。第一步是抓住Neo4j的免費社區版本,可以在這裏找到

安裝完成後,您應該可以瀏覽http://127.0.0.1:7474/browser/訪問Neo4j DB,默認用戶/密碼為neo4j/neo4j,在您在首次登錄時更改密碼。

第二步是使用配置文件安裝Sysmon,在以前的文章中我介紹過Sysmon。

準備日誌

現在,已經配置好Sysmon及Neo4j的設置,我們需要將日誌轉換成可以導入Neo4j的格式。我使用以下的PowerShell腳本:

這個腳本創建一個CSV文件

Import-Module C:UsersAntonDownloadsGet-WinEventData.ps1
$File = "C:UsersAntonDesktoplogs.csv"
Clear-Content "C:UsersAntonDesktoplogs.csv"
Add-Content $File -Value Source","Destination","DestinationPort","Application`n -NoNewline
$EventsID3 = Get-WinEvent -FilterHashtable @{logname="Microsoft-Windows-Sysmon/Operational";id=3} | Get-WinEventData | select EventDataSourceIp,EventDataDestinationIp,EventDataDestinationPort,EventDataImage
foreach ($Event3 in $EventsID3)
{
   $output = Write-Output $Event3.EventDataSourceIp","$Event3.EventDataDestinationIp","$Event3.EventDataDestinationPort","$Event3.EventDataImage`n
   Add-Content $File -Value $output -NoNewline
}

技術分享

為了簡單起見,我將文件放入C:Users<Name>DocumentsNeo4jdefault.graphdbimport目錄中

導入數據和Cypher查詢

現在有了我們所需格式的文件,打開Neo4j界面,並在輸入框中輸入以下命令:

load csv with headers from "file:///logs.csv" AS csvLine
CREATE (source:address { address: csvLine.Source })
CREATE (destination:addressd { addressd: csvLine.Destination })
CREATE (DestinationPort:DestPort { destport: csvLine.DestinationPort })
CREATE (application:app { Application: csvLine.Application })
CREATE (source)-[:ConnectedTo]->(destination)-[:Using]->(application)-[:OnPort]->(DestinationPort)

第一行加載我們的CSV,

接下來的四個CREATE語句使我們的圖形元素的源地址,目的地址,目標端口和應用程序

最後一個CREATE語句構建我們的關系。在這種情況下,我想知道什麽源IP連接到什麽目的地IP以及什麽應用和目標端口。

技術分享

點擊播放按鈕,你應該看到類似於以下內容:

技術分享

現在我們可以找到感興趣的東西,點擊左側的數據庫圖標,然後點擊“關系類型”下的*圖標:

技術分享

你現在應該看到的關系圖如下:

技術分享

我們得到一個真正清晰的前端展示與什麽連接到我們的系統。在這種情況下,我們可以看到192.168.1.123連接到204.79.197.200,使用端口443上的IE。

實例測試

讓我們進一步了解一下如何使用它來分析一些惡意活動。

技術分享

當然Neo4j和這種設置不會提醒你任何惡意的活動

我們可以編寫一個簡單的查詢來查看所有的PowerShell網絡連接:

技術分享

給你一個結果列表

技術分享

我們可以雙擊來擴展它。現在我們應該看到我們對PowerShell網絡活動的攻擊展示:

再次,我們可以清楚地看到192.168.1.123連接到151.101.124.133(Github),通過端口443使用PowerShell。

這顯然是一個簡化的例子,但我認為這將是一個超級便利的工具,以獲得一些額外的見解從你的日誌。我在這裏使用Sysmon,因為它提供了非常豐富的數據。

結語

使用Neo4j圖形數據庫,可以很方便的展示進行數據關聯。

如果數據量過大,您可以通過JSON的API與BloodHound一樣提供Neo4j數據庫。

使用Neo4j可視化Windows日誌

相關推薦

使用Neo4jWindows日誌

搜索 post 簡單 desktop .so 安裝完成 win com 擴展 導語:大多數時候,這些都是以數據行的形式表示的,有時候我以看圖表。當我我看到BloodHound項目時,我感覺我的圖標形式顯示比較老舊。我想要同樣的視覺展示。 介紹 我花了很多時間在SIEM

Windows遠程連接server(Linux系統)及

命令行 enter lin -1 用戶 ssi arm mar 下載文件 方法1:命令行連接後使用server上安裝好的可視化編輯器IDE:   Step 1: 工具準備:putty.exe;Xming-6-9-0-31-setup.exe;Xming-fonts-7-7-

使用開源工具ELK Azure NSG日誌

2.3 ecif loopback manage setting entos ger 時間段 ali 國內的Azure最近上線了網絡觀察程序服務,可以幫助用戶監控和分析VNET虛擬網絡。其中一個很重要的功能就是可以記錄NSG的安全訪問日誌了。但是如果用戶設置了NSG流日

windows本地安裝mongoDB並且安裝工具studio 3t

pat 簡單 www 使用 一個 不成功 檢測 config 可視化 1、首先去mongoDB官網下載自己對應的電腦版本: 下載地址: https://www.mongodb.com/download-center#community 2、然後開始安裝,在安裝的時候左下角可

MongoDB工具RoboMongo----Windows安裝

圖片 nload info 分享圖片 mon window TP ima bubuko 官網下載地址:https://studio3t.com/download-now/ MongoDB可視化工具RoboMongo----Windows安裝

Anemometer+Percona Toolki實現MySQL慢查詢日誌功能

follow mysql服務器 httpd php ade aio water pac 管理 centos 最近發現了一個挺好用的MySQL慢查詢日誌可視化的工具,網上也能找到很多資料,在這裏結合自己的實際情況重新整理一下。 1. 實驗環境 1.1 系統環境: 操作系統:C

專欄文章推薦:輕松玩轉ELK海量日誌分析系統

檢索 目前 電商 filebeat 經驗 日誌 href 企業it 51cto博客 最近一直在更新ELK系列的專欄,此專欄主要是針對ELK從入門到實戰應用的介紹,內容非常實用,通過多年對ELK的使用經驗,此文濃縮了ELK的各種應用技能和總結,強烈推薦給大家閱讀。 在學習過程

Elastic Stack實戰學習教程~日誌數據的收集、分析與

cse 靈活 service 配置 很多 技術 常見 假設 搜索服務 Elastic Stack介紹 近幾年,互聯網生成數據的速度不斷遞增,為了便於用戶能夠更快更精準的找到想要的內容,站內搜索或應用內搜索成了不可缺少了的功能之一。同時,企業積累的數據也再不斷遞增,對海量數據

【caffe-windows】 caffe-master 之 卷積核(利用matlab)

前期準備,需要兩個東西 1. 模型的描述檔案 deploy.prototxt 2. 模型本身lenet_iter_10000.caffemodel (此處用的examples中的mnist裡的) 第一步: 在建立D:\caffe-master\m

R數據----ggplot2之標度、坐標軸和圖例詳解

abs 調整 所有 不同的 size n) 默認 表達 idt 標度控制著數據到圖形屬性的映射,當有需要時,ggplot2會自動添加一個默認的標度。我們確實可以在不了解標度運行原理的情況下畫出許多圖形,但理解標度並學會如何操縱它們則將賦予我們對圖形更強的控制能力。 每一種圖

Regexper正則表達式工具

正則表達式 正則工具Regexper可視化正則表達式工具Enter Javascript-style regular expression to dispalyhttps://regexper.com/http://www.regexpal.com/正則表達式30分鐘教程 https://deerchao.n

如何將枯燥的大數據呈現為的圖?

大數據 可視化 將數據轉化成可視化圖表/形,其實一個工具就能完成,礙於工具太多,按照使用場景,暫且將已成熟應用的分為三個層次:第一層:數據報告、信息圖這裏統稱信息圖。信息圖是把數據、信息或知識可視化,必須要有一個清楚準確的解釋或表達甚為復雜且大量的信息。代表人物是新聞界的David McCandles

第三篇:數據 - ggplot2

strong 保存 轉換成 特征 散點圖 說明 pdf格式 ota 目的 前言 R語言的強大之處在於統計和作圖。其中統計部分的內容很多很強大,因此會在以後的實例中逐步介紹;而作圖部分的套路相對來說是比較固定的,現在可以先對它做一個總體的認識。

第二篇:數據 - 基本API

數據挖掘 idt 示例 iyu 大小 blue .com sof 個性化 前言 數據可視化是數據挖掘非常重要的一個環節,它不單在查閱了解數據環節使用到,在整個數據挖掘的流程中都會使用到。 因為數據可視化不單可以形象地展示數據,讓你對數據有更好

Docker界面(Consul+Shipyard+Swarm+Service Discover)部署記錄

agen net 映射 control pro doc labs 容器 默認賬戶 前面一篇說到了Docker管理工具-Swarm部署記錄,基於這個環境,下面記錄下Docker可視化界面部署過程: 1)下載相關驚喜 manager-node節點(182.48.115.

87、使用TensorBoard進行學習

哈哈哈 tput sco 而在 封裝 結果 average 實現 machine 1、還是以手寫識別為類,至於為什麽一直用手寫識別這個例子,原因很簡單,因為書上只給出了這個類子呀,哈哈哈,好神奇 下面是可視化學習的標準函數 ‘‘‘ Created on 2017年5月23

三角網格表面高斯曲率的計算與

綠色 調試運行 即將 簡單 坐標 com 框架搭建 alt 建立 好久沒有寫代碼了,最近拿計算三角網格表面的高斯曲率練了練手,並實現了高斯曲率的可視化,復習了一點微分幾何的知識。感覺有時候還是要自己把代碼寫出來,調試運行,結合試驗結果,才能對相應的知識有更深的了解。 所謂曲

Dionaea蜜罐IP數據地圖

pmap git numpy file py3 tree 所有 open 結果 #關於如何簡單搭建Dionaea低交互式蜜罐,詳見博文 #前言.   以我在洛杉磯租用某臺VPS上搭建的Dionaea蜜罐,在5.26晚23.58至5.28日17.10時間段(41h)

數據入門之show me the numbers

推薦 有趣的 好的 style blank 分享 span 需要 width 數據的可視化一直是自己瞎玩著學,近來想系統的學數據可視化的東西,於是搜索資料時看到有人推薦《show me the numbers》作為入門。 由於搜不到具體的書籍內容,只能搜到一個

mysqlbinlog 查看sql語句

sql語句 mysqlbinlog 可視化查看 直接mysqlbinlog導出來的文件,執行sql部分的sql語句顯示為base64編碼格式,無法正常閱讀。所以生成sql記錄的時候,不能用常規的辦法去生成,需要加上相應的參數才能顯示出sql語句--base64-output=decode-rows