原文链接:
http://click.aliyun.com/m/26676/
摘要: 使用DataV大屏展现态势感知 DNS 会话日志,从而实现交互式安全威胁发现。
2017年,阿里云启动MVP(Most Valuable Professional)项目。顾名思义,MVP正在寻找阿里云最有价值专家,那些能够,并且愿意帮助他人,充分了解和使用阿里云技术的意见领袖。
本文是阿里云MVP 傅奎的实践分享,今天和大家讲讲 “安全态势,交互发现 —— 基于阿里云轻松搭建安全大屏 ”
一句话概述
背景介绍
产品介绍
需求分析
实现方法
导出态势感知 DNS 日志
定制返回 JSON 串的数据源API
定制 DataV 大屏,指定 API 数据源
发布监控大屏,看效果
交互式发现
补充说明
替你踩过的坑
Show you the code
一些期待
关于“交互式”
鸣谢
一句话概述
使用DataV大屏展现态势感知 DNS 会话日志,从而实现交互式安全威胁发现。
剧透一下最终效果,绝对值得试试:
所有 DNS 日志的节点(源地址、DNS服务器地址、要解析的域名)关系图。点选其中任一节点,关联点自动高亮,非关联节点则进入蒙版状态,要是有什么可疑的节点、关系、类目,一眼就看出来!
17832701373e921529f104332f73c4282cfa58ca73416e298d5ab918af89f5c8eeb26b08d509d2fb
背景介绍
自打“态势感知”上线了新版的“日志”功能,团队成员就在摩拳擦掌寻思如何充分挖掘日志信息的价值,而不仅仅是用于故障诊断或事件调查。其中,通过图形化展现不同网络资源节点的相互关系,进而实现交互式安全威胁发现,是最为理想的实现方式。此前尝试过 Graphviz、yEd、NetworkX 等方式,后来都因配置复杂,使用繁琐等问题放弃。
直到MVP 技术群里李文毅向大家推荐了 DataV,我想:是时候“make it true ”了!
产品介绍
以下材料援引自官方介绍,描述不准与我无关:
态势感知
“态势感知提供的是一项SAAS服务,即在大规模云计算环境中,对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析,并提供一个体系化的安全解决方案。”
DataV 数据可视化
“DataV旨让更多的人看到数据可视化的魅力,帮助非专业的工程师通过图形化的界面轻松搭建专业水准的可视化应用。DataV提供丰富的可视化模板,满足您会议展览、业务监控、风险预警、地理信息分析等多种业务的展示需求。”
需求分析
态势感知的日志功能非常强大,目前支持查询:所有入站的7层数据、出入站栈的4层会话以及DNS双向日志。其中 DNS 日志有助于安全团队分析服务器是否遭受入侵,被植入木马病毒,存在异常请求等问题。
我们最关心的是:哪台服务器,通过哪个 DNS Server,解析了哪个域名?
针对该需求,如果有可视化的节点关系图辅助分析,那么威胁识别的效率将大幅提升。在没有使用 DataV 之前,通常的办法是使用一些图表工具进行展现,而且少不了定制化开发的工作量。DataV 的出现,大大解放了数据分析人员的双手,从而可以用于拖动进度条。仅仅通过少量的鼠标点击和基本的 API 配置,就能瞬间让你的数据充满活力,开口说话。DataV 自带节点关系图,并内嵌原生ECharts ,完全可以满足此类需求。
实现方法
你一定很期待强劲的态势感知与性感的 DataV强强联合会是什么样子。期待不如行动,我们一起动手去实现吧。
导出态势感知 DNS 日志
登录阿里云控制台,进入安全(云盾)|态势感知功能页,通过子菜单选择日志 new项目。
79868ff030c4143e1ea0c41718ef8820146a2ef5
设置DNS 日志查询条件,分别是:
日志源:DNS
字段:qtype
判断条件:包含(目前只能选包含)
关键字:A
再设置好查询时间,点击搜索就可以啦。
32e4409d2c1421e18a808bb7aa85849919dba71a
系统很快就能返回查询结果,通过右上角导出结果将当前页(没错,,是当前页,,一次100条-_-)日志导出到Excel 中。如果需要更多数据,得依次翻页导出-_-。当然也有程序化解决方案,请往后看。
37b9661975617ecf553c9a3184ff1c8eaf8959af
定制返回 JSON 串的数据源API
对导出的 Excel 文件进行数据抽取,关键是:
源地址:src_ip
DNS Server:dst_ip
尝试解析的域名:qname
dec7b6fdd794365fda16886c6420aa9afcb7d985
将源地址、DNS 地址、域名三项都纳入节点范畴,同时将源地址->DNS 地址、DNS 地址->域名纳入关系范畴,通过 HTTP 将节点 nodes 和关系 links 输出为 JSON 就是一个可用的API数据输入源。
别着急,作为良心分享,怎么能少了技术细节呢?为了不影响阅读,我把数据格式化和 API 相关的具体内容放在后面环节。
定制 DataV 大屏,指定 API 数据源
通过阿里云控制台大数据(数加)|DataV数据可视化进入定制界面,直接选择新建可视化。
06f71fe7327b7d0384d9f1b86123c272e1a3feec
创建大屏模板,设置一个你喜欢的名字。
4ad7f38b57e50d3e90c2e57c1edf8c8260107992
向大屏图层添加数据展示组件, 这里可以选择关系网络或原生的 Echarts 网络图。
bf0bbc7d5b0ddfae17909f2fab3f43b4ec80fd9f
点选图表组件,进入右侧数据选项卡,修改默认的数据源类型静态数据为 API。
7afa1438c7508972837e86ca23be57f50160585f
填写满足系统要求的 API,如:http://www.test.com/datav.json,鼠标离开输入框,左侧设计区会即时展现效果。
6d7da3fdba59a4f5ea043407422ffd4abb5ac00c
发布监控大屏,看效果
数据调试和预览成功后,可通过右上角的发布按钮,正式发布报表。DataV 考虑得很周到,为报表提供了密码和 Token 两种安全保护机制。
8d4d7faad5f1ff87873a290008f6d1cf11560689
访问发布后的报表链接:http://datav.aliyun.com/share/ef9aa**********a3fd8(这是他们的秘密不可访问的哈)
ddfb119fb66d11fb430f4f9126352aae9770ed50
交互式发现
好吧,放一些我在测试环境模拟出来的数据。下面是一段时间内,所有 DNS 日志的节点(源地址、DNS服务器地址、要解析的域名)关系图。
原文链接:
http://click.aliyun.com/m/26676/
分享到:
相关推荐
本文将详细讲解如何使用ESP8266微控制器与阿里云物联网平台相结合,通过微信小程序实现远程控制设备,以一个具体的实例——WiFi远程浇花控制为例。首先,我们需要理解ESP8266、阿里云物联网平台和微信小程序各自的...
《神经网络算法与实现——基于Java语言 代码实例》是一本深入探讨神经网络编程的书籍,专注于使用Java语言实现各种神经网络模型。本书通过实际的代码示例,为读者提供了理解神经网络工作原理以及如何在Java环境下...
基于uC_OS且开放源码的TCP_IP协议栈——uC_IP uC/IP是由Guy Lancaster编写的一套基于uC/OS且开放源码的TCP/IP协议栈,亦可移植到其它操作系统,是一套完全免费的、可供研究的TCP/IP协议栈,uC/IP大部分源码是从公开...
- 学习如何进行身份验证,通常涉及到阿里云的AccessKey和Signature,这是安全调用API的关键步骤。源码中会有具体实现,包括签名算法的实现。 4. **RESTful API交互**: - 阿里云的呼叫中心API遵循RESTful设计原则...
Magic Arm——基于表面肌电信号的臂环交互方式解析.pdf
基于Android的智能家居系统设计——客户端及云服务器的实现 本文旨在研究和设计基于Android的智能家居系统,通过ZigBee技术实现智能家居远程监控系统。该系统将家居设备通过Zigbee无线组网,把家居设备的信息和数字...
交互式计算机图形学——基于OpenGL 的自顶向下方法 中科大数学系邓建松课件1~5章
不同类型教学交互对大学生深度学习影响研究——基于结构方程模型的分析.pdf
《EC800M-NC连接阿里云物联网平台——基于MQTT协议的实践指南》 在物联网(IoT)领域,设备与云端的通信是关键的一环。本指南将详细介绍如何利用EC800M-NC模块,通过MQTT协议连接到阿里云物联网平台,实现高效、稳定...
论文研究-消费者交互作用对网络效应产品扩散的影响——基于产品生命周期的视角.pdf, 从消费者采用产品过程的生命周期(PLC)视角出发,运用微观扩散模型仿真分析消费者交互...
- **初始化客户端**:首先,需要通过SDK创建一个阿里云VOD的客户端实例,配置好AccessKey和SecretKey,这些是阿里云账号的安全凭证。 - **创建任务**:调用SDK的创建任务接口,定义视频的基本信息,如标题、描述、...
联系人模块涉及多个页面,如联系人页面(activity_contact——ContacterActivity)、资料卡(activity_peocard——PeocardActivity)、删除和修改用户资料(activity_contact——ContacterActivity和activity_uppeo...
本系统——“基于PHP的阿里云存储PHP文件上传系统v1.3子目录版”,正是针对这一需求而设计的,它将文件上传与阿里云存储服务相结合,提供高效、安全的文件存储解决方案。本文将深入探讨该系统的几个关键知识点。 1....
阿里云视频转码服务是基于其强大的媒体处理能力,为开发者和企业提供的一种高效、便捷的视频处理方式。在Java开发环境中,我们可以利用阿里云提供的SDK来实现视频的转码操作。下面将详细介绍如何使用Java代码进行...
阿里云推荐引擎是一种基于机器学习和深度学习算法的推荐系统,旨在为用户提供个性化的推荐结果。该系统架构可以分为三部分:离线计算、在线计算和近线计算。离线计算负责数据预处理和模型训练;在线计算负责实时推荐...
阿里云UI界面设计是业界公认的优秀范例,其简洁、高效、直观的用户交互体验深受开发者和企业用户的喜爱。在“仿阿里云UI”的项目中,我们主要关注以下几个关键的知识点: 1. **扁平化设计**:阿里云UI的一大特点是...
阿里云消息队列MQTT(Message Queuing Telemetry Transport)是一种基于发布/订阅模式的轻量级通信协议,常用于物联网(IoT)设备与云端的通信。在C#环境中,开发者可以使用MQTT库来实现与阿里云消息队列的交互,进行...
阿里云视频点播服务是阿里云提供的一种高效、安全、可扩展的在线视频处理和分发解决方案。通过这个服务,开发者可以轻松实现视频上传、转码、存储、管理以及播放功能,为各种应用场景如在线教育、直播回放、短视频...
阿里云短信服务是一款高效、安全、可扩展的云端通信服务,为企业和开发者提供了一种便捷的方式来进行验证码发送、通知推送等场景的应用。本示例源码实例主要针对阿里云短信服务进行详细介绍,帮助用户快速理解和集成...