态势感知 + DataV:安全可视化交互,这么玩儿
2017-08-29 14:34
267 查看
点击查看全文
在安全领域,“看见”的能力很大程度上影响着风险防御的有效性。将未知的风险以可视化的方式展示,让企业安全团队有“踏实感”和“存在感”。
在安全可视化上,阿里云首批MVP,千寻位置安全负责人傅奎想出了“跨界玩法”,用阿里云的两大产品:态势感知和DataV,实现交互式安全威胁发现。
Let's Make It True.
文章介绍的,是如何使用DataV大屏展现态势感知 DNS 会话日志,从而实现交互式安全威胁发现。
剧透一下最终效果,绝对值得试试:
所有 DNS 日志的节点(源地址、DNS服务器地址、要解析的域名)关系图。点选其中任一节点,关联点自动高亮,非关联节点则进入蒙版状态,要是有什么可疑的节点、关系、类目,一眼就看出来!
背景介绍
自打“态势感知”上线了新版的“日志”功能,团队成员就在摩拳擦掌寻思如何充分挖掘日志信息的价值,而不仅仅是用于故障诊断或事件调查。
其中,通过图形化展现不同网络资源节点的相互关系,进而实现交互式安全威胁发现,是最为理想的实现方式。此前尝试过 Graphviz、yEd、NetworkX 等方式,后来都因配置复杂,使用繁琐等问题放弃。
直到MVP 技术群里李文毅向大家推荐了 DataV,我想:是时候“make it true ”了!
产品介绍
以下材料援引自官方介绍,描述不准与我无关:
态势感知
“态势感知提供的是一项SAAS服务,即在大规模云计算环境中,对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析,并提供一个体系化的安全解决方案。”
DataV 数据可视化
“DataV旨让更多的人看到数据可视化的魅力,帮助非专业的工程师通过图形化的界面轻松搭建专业水准的可视化应用。DataV提供丰富的可视化模板,满足您会议展览、业务监控、风险预警、地理信息分析等多种业务的展示需求。”
需求分析
态势感知的日志功能非常强大,目前支持查询:所有入站的7层数据、出入站栈的4层会话以及DNS双向日志。其中 DNS 日志有助于安全团队分析服务器是否遭受入侵,被植入木马病毒,存在异常请求等问题。
我们最关心的是:哪台服务器,通过哪个 DNS Server,解析了哪个域名?
针对该需求,如果有可视化的节点关系图辅助分析,那么威胁识别的效率将大幅提升。在没有使用 DataV 之前,通常的办法是使用一些图表工具进行展现,而且少不了定制化开发的工作量。DataV 的出现,大大解放了数据分析人员的双手,从而可以用于拖动进度条。仅仅通过少量的鼠标点击和基本的 API 配置,就能瞬间让你的数据充满活力,开口说话。DataV 自带节点关系图,并内嵌原生ECharts ,完全可以满足此类需求。
实现方法例
你一定很期待强劲的态势感知与性感的 DataV强强联合会是什么样子。期待不如行动,我们一起动手去实现吧。
导出态势感知 DNS 日志
登录阿里云控制台,进入安全(云盾)| 态势感知功能页,通过子菜单选择日志 new项目。
设置DNS 日志查询条件,分别是:
日志源:DNS
字段:qtype
判断条件:包含(目前只能选包含)
关键字:A
再设置好查询时间,点击搜索就可以啦。
系统很快就能返回查询结果,通过右上角导出结果将当前页(没错,,是当前页,,一次100条-_-)日志导出到Excel 中。如果需要更多数据,得依次翻页导出-_-。当然也有程序化解决方案,请往后看。
定制返回 JSON 串的数据源API
对导出的 Excel 文件进行数据抽取,关键是:
源地址:src_ip
DNS Server:dst_ip
尝试解析的域名:qname
将源地址、DNS 地址、域名三项都纳入节点范畴,同时将源地址->DNS 地址、DNS 地址->域名纳入关系范畴,通过 HTTP 将节点 nodes 和关系 links 输出为 JSON 就是一个可用的API数据输入源。
别着急,作为良心分享,怎么能少了技术细节呢?
为了不影响阅读,我把数据格式化和 API 相关的具体内容放在后面环节。
定制 DataV 大屏,指定 API 数据源
点击查看全文
在安全领域,“看见”的能力很大程度上影响着风险防御的有效性。将未知的风险以可视化的方式展示,让企业安全团队有“踏实感”和“存在感”。
在安全可视化上,阿里云首批MVP,千寻位置安全负责人傅奎想出了“跨界玩法”,用阿里云的两大产品:态势感知和DataV,实现交互式安全威胁发现。
Let's Make It True.
文章介绍的,是如何使用DataV大屏展现态势感知 DNS 会话日志,从而实现交互式安全威胁发现。
剧透一下最终效果,绝对值得试试:
所有 DNS 日志的节点(源地址、DNS服务器地址、要解析的域名)关系图。点选其中任一节点,关联点自动高亮,非关联节点则进入蒙版状态,要是有什么可疑的节点、关系、类目,一眼就看出来!
背景介绍
自打“态势感知”上线了新版的“日志”功能,团队成员就在摩拳擦掌寻思如何充分挖掘日志信息的价值,而不仅仅是用于故障诊断或事件调查。
其中,通过图形化展现不同网络资源节点的相互关系,进而实现交互式安全威胁发现,是最为理想的实现方式。此前尝试过 Graphviz、yEd、NetworkX 等方式,后来都因配置复杂,使用繁琐等问题放弃。
直到MVP 技术群里李文毅向大家推荐了 DataV,我想:是时候“make it true ”了!
产品介绍
以下材料援引自官方介绍,描述不准与我无关:
态势感知
“态势感知提供的是一项SAAS服务,即在大规模云计算环境中,对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析,并提供一个体系化的安全解决方案。”
DataV 数据可视化
“DataV旨让更多的人看到数据可视化的魅力,帮助非专业的工程师通过图形化的界面轻松搭建专业水准的可视化应用。DataV提供丰富的可视化模板,满足您会议展览、业务监控、风险预警、地理信息分析等多种业务的展示需求。”
需求分析
态势感知的日志功能非常强大,目前支持查询:所有入站的7层数据、出入站栈的4层会话以及DNS双向日志。其中 DNS 日志有助于安全团队分析服务器是否遭受入侵,被植入木马病毒,存在异常请求等问题。
我们最关心的是:哪台服务器,通过哪个 DNS Server,解析了哪个域名?
针对该需求,如果有可视化的节点关系图辅助分析,那么威胁识别的效率将大幅提升。在没有使用 DataV 之前,通常的办法是使用一些图表工具进行展现,而且少不了定制化开发的工作量。DataV 的出现,大大解放了数据分析人员的双手,从而可以用于拖动进度条。仅仅通过少量的鼠标点击和基本的 API 配置,就能瞬间让你的数据充满活力,开口说话。DataV 自带节点关系图,并内嵌原生ECharts ,完全可以满足此类需求。
实现方法例
你一定很期待强劲的态势感知与性感的 DataV强强联合会是什么样子。期待不如行动,我们一起动手去实现吧。
导出态势感知 DNS 日志
登录阿里云控制台,进入安全(云盾)| 态势感知功能页,通过子菜单选择日志 new项目。
设置DNS 日志查询条件,分别是:
日志源:DNS
字段:qtype
判断条件:包含(目前只能选包含)
关键字:A
再设置好查询时间,点击搜索就可以啦。
系统很快就能返回查询结果,通过右上角导出结果将当前页(没错,,是当前页,,一次100条-_-)日志导出到Excel 中。如果需要更多数据,得依次翻页导出-_-。当然也有程序化解决方案,请往后看。
定制返回 JSON 串的数据源API
对导出的 Excel 文件进行数据抽取,关键是:
源地址:src_ip
DNS Server:dst_ip
尝试解析的域名:qname
将源地址、DNS 地址、域名三项都纳入节点范畴,同时将源地址->DNS 地址、DNS 地址->域名纳入关系范畴,通过 HTTP 将节点 nodes 和关系 links 输出为 JSON 就是一个可用的API数据输入源。
别着急,作为良心分享,怎么能少了技术细节呢?
为了不影响阅读,我把数据格式化和 API 相关的具体内容放在后面环节。
定制 DataV 大屏,指定 API 数据源
点击查看全文
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 大数据环境下网络安全态势感知研究
- 安全态势,交互发现 —— 基于阿里云轻松搭建安全大屏
- 御见安全态势感知:“哈里男孩”水坑攻击“脚本小子”
- 基于态势感知的网络安全事件预测方法分析
- 御见安全态势感知:“哈里男孩”水坑攻击“脚本小子”
- day19 part1:网络安全态势感知
- 安全态势_交互发现 —— 基于阿里云轻松搭建安全大屏
- 如何防范网络攻击?你需要这样的安全态势感知系统
- 安全态势感知:一些哲学思考
- 大数据环境下网络安全态势感知研究
- 【物联网安全】应用层与感知终端之间的交互流程
- 语音识别关键技术公开,人机交互这么做就对了!
- 原来MaxCompute还能这么玩系列(1)—— 通过Apache Zeppelin 快速实现数据可视化
- Webview 和js之间安全交互
- 厉害了黑科技,动态安全下的防拖库原来可以这么简单!
- Android Webview Java和Javascript安全交互
- 什么是态势感知?
- 语音识别关键技术公开,人机交互这么做就对了!
- 不知道为啥黑站这么有手感哈。可能是现在的学校网络安全都不咋滴