你试着用吗信息可视化的过程与你的一些数据?你应用的过程吗我介绍的工具吗?或任何其他的可视化工具吗?
今天的主题是关于生成treemap。我使用treemap很多不同的分析目的。只是几个例子:漏洞数据分析、调优id签名,或防火墙日志分析。今天我们要看一看防火墙日志分析treemap。
首先,我们需要将我们的防火墙日志转换为一个CSV文件。我有一个OpenBSD pf防火墙。解析日志,我使用解析器我写的。如果你没有pf日志,仍然试图找到一个解析器,有人写道。如果你不能找到一个,使用awk提取必要的信息从你的日志。为我的目的我提取源和目的地ip和端口,以及行动,一个数据包是否通过或屏蔽。输出看起来像这样:
猫pflog美元。txt | pf2csv。pl“sip倾斜运动dport行动”62.245.245.139,212.254.110.98,,回声请求,通过67.163.167.90,212.254.110.100,2424年,25岁,通过195.141.69.45,192.26.92.32,53岁,1030年通过…下一个步骤是,我们需要这个CSV文件转换成一个TM3文件。的Treemap的工具,我要使用需要这个数据格式。下面是您可以使用的命令将CSV输出TM3文件:
猫文件。csv | perl pe /, / ^我/ g | |排序uniq - c | perl pe ' s / ^ \ s * / /, / / ^我/另一件你要做的就是添加一个标题行,这样输出如下:
计数SIP倾斜运动DPORT行动整数弦弦弦弦弦4 195.141.69.42 239.255.255.253 63700 427块4 195.141.69.42 239.255.255.253 63701 427块1 195.141.69.43 195.141.56.5 54218 53请注意,在上面的命令中,您需要使用制表符,而不是^我!一旦我们有这个,我们可以打开Treemap工具:
java jar treemap.jar打开TM3文件生成的。在右边,选择层次结构。点击默认的层次结构然后删除。然后点击SIP和添加。做着同样的事情浸。现在切换到传奇和改变大小数。然后改变颜色行动。最后DPORT设置标签。不坏,是吗?你也可以玩和改变配色方案,如果你想要的。这就是我在下面treemap。
我们看什么呢?对于每个源地址(例如,212.251.89.126)你看到他们连接到目标(例如,212.254.110.100)。基本上,你看到的所有连接。在目标机器的盒子,你可以看到所有这些连接访问的服务(例如,135年,或回声请求)。然后颜色表明是否连接阻塞(红色)或通过(绿色)。总之,这给你一个很好的防火墙活动的概述。您现在应该能够识别违规行为,mis-configurations或攻击。
一个有趣的事情在这个日志似乎有很多漂浮回声请求。一些有阻塞(右下和左下角红色框)。然而,一些被允许通过。我们想确认这些需要ping的原因。此外,似乎有212.251.89.126的错误配置。它试图连接到一堆箱子在端口135 (Windows NetBIOS)。如果它被阻塞,它不应该试一试。我们应该重新配置这台机器停止这样做。427端口的流量也是如此,这是与一些MAC发现协议。有一个可以看到的更多。 You can, for example, identify your DNS server (port 53 traffic), etc. etc. Especially if you know more about your setup, you can identify all kinds of things with this treemap view.
如果你继续,产生一些有趣的日志,上传secviz。如果上面的步骤没有意义,或你想让我详细说明任何东西,请让我的评论,我将会很乐意这么做。
直到下一次我们将讨论决策过程的图表。