態勢感知 DataV:安全視覺化互動,這麼玩兒

態勢感知   DataV:安全視覺化互動,這麼玩兒

點選檢視全文

在安全領域,“看見”的能力很大程度上影響著風險防禦的有效性。將未知的風險以視覺化的方式展示,讓企業安全團隊有“踏實感”和“存在感”。

在安全視覺化上,阿里雲首批MVP,千尋位置安全負責人傅奎想出了“跨界玩法”,用阿里雲的兩大產品:態勢感知和DataV,實現互動式安全威脅發現。

Let’s Make It True.

文章介紹的,是如何使用DataV大屏展現態勢感知 DNS 會話日誌,從而實現互動式安全威脅發現。

劇透一下最終效果,絕對值得試試:

所有 DNS 日誌的節點(源地址、DNS伺服器地址、要解析的域名)關係圖。點選其中任一節點,關聯點自動高亮,非關聯節點則進入蒙版狀態,要是有什麼可疑的節點、關係、類目,一眼就看出來!


image
image

背景介紹

自打“態勢感知”上線了新版的“日誌”功能,團隊成員就在摩拳擦掌尋思如何充分挖掘日誌資訊的價值,而不僅僅是用於故障診斷或事件調查。

其中,通過圖形化展現不同網路資源節點的相互關係,進而實現互動式安全威脅發現,是最為理想的實現方式。此前嘗試過 Graphviz、yEd、NetworkX 等方式,後來都因配置複雜,使用繁瑣等問題放棄。

直到MVP 技術群裡李文毅向大家推薦了 DataV,我想:是時候“make it true ”了!

產品介紹

以下材料援引自官方介紹,描述不準與我無關:

  • 態勢感知

“態勢感知提供的是一項SAAS服務,即在大規模雲端計算環境中,對那些能夠引發網路安全態勢發生變化的要素進行全面、快速和準確地捕獲和分析,並提供一個體系化的安全解決方案。”

  • DataV 資料視覺化

“DataV旨讓更多的人看到資料視覺化的魅力,幫助非專業的工程師通過圖形化的介面輕鬆搭建專業水準的視覺化應用。DataV提供豐富的視覺化模板,滿足您會議展覽、業務監控、風險預警、地理資訊分析等多種業務的展示需求。”

需求分析

態勢感知的日誌功能非常強大,目前支援查詢:所有入站的7層資料、出入站棧的4層會話以及DNS雙向日誌。其中 DNS 日誌有助於安全團隊分析伺服器是否遭受入侵,被植入木馬病毒,存在異常請求等問題。

我們最關心的是:哪臺伺服器,通過哪個 DNS Server,解析了哪個域名?

針對該需求,如果有視覺化的節點關係圖輔助分析,那麼威脅識別的效率將大幅提升。在沒有使用 DataV 之前,通常的辦法是使用一些圖表工具進行展現,而且少不了定製化開發的工作量。DataV 的出現,大大解放了資料分析人員的雙手,從而可以用於拖動進度條。僅僅通過少量的滑鼠點選和基本的 API 配置,就能瞬間讓你的資料充滿活力,開口說話。DataV 自帶節點關係圖,並內嵌原生ECharts ,完全可以滿足此類需求。

實現方法例

你一定很期待強勁的態勢感知與性感的 DataV強強聯合會是什麼樣子。期待不如行動,我們一起動手去實現吧。

匯出態勢感知 DNS 日誌

登入阿里雲控制檯,進入安全(雲盾)| 態勢感知功能頁,通過子選單選擇日誌 new專案。


image


設定DNS 日誌查詢條件,分別是:

  • 日誌源:DNS
  • 欄位:qtype
  • 判斷條件:包含(目前只能選包含)
  • 關鍵字:A

再設定好查詢時間,點選搜尋就可以啦。


image


系統很快就能返回查詢結果,通過右上角匯出結果將當前頁(沒錯,,是當前頁,,一次100條-_-)日誌匯出到Excel 中。如果需要更多資料,得依次翻頁匯出-_-。當然也有程式化解決方案,請往後看。


image

定製返回 JSON 串的資料來源API

對匯出的 Excel 檔案進行資料抽取,關鍵是:

  • 源地址:src_ip
  • DNS Server:dst_ip
  • 嘗試解析的域名:qname


image

將源地址、DNS 地址、域名三項都納入節點範疇,同時將源地址->DNS 地址、DNS 地址->域名納入關係範疇,通過 HTTP 將節點 nodes 和關係 links 輸出為 JSON 就是一個可用的API資料輸入源。

彆著急,作為良心分享,怎麼能少了技術細節呢?

為了不影響閱讀,我把資料格式化和 API 相關的具體內容放在後面環節。

定製 DataV 大屏,指定 API 資料來源

點選檢視全文