SOC日志可视化用具 SOC Sankey Generator
发布时间:2022-07-12 09:36:54 所属栏目:安全 来源:互联网
导读:作者身处甲方公司,有幸近两次参与到攻防演练行动当中,在这两次行动中也帮助公司逐步建立起来了一套SOC平台,完成对接了NGFW、IDS、APT、WAF、终端安全等安全设备并投入运营,运营过程中发现一个痛点没有得到很好的解决。在演练期间,公司领导每天会抽出5分
|
作者身处甲方公司,有幸近两次参与到攻防演练行动当中,在这两次行动中也帮助公司逐步建立起来了一套SOC平台,完成对接了NGFW、IDS、APT、WAF、终端安全等安全设备并投入运营,运营过程中发现一个痛点没有得到很好的解决。在演练期间,公司领导每天会抽出5分钟时间听防守小组汇报,SOC平台所能展示的内容过于复杂与专业,不能很好地表达与反应当日的安全攻击态势,于是诞生出这个造轮子的想法。 简介 SOC Sankey Generator是一款从SOC日志中进行数据ETL与数据可视化的工具,可以快速将日志呈现为Sankey图,Sankey图常常应用于具有数据流向关系的可视化分析,在安全中适合描述源对目标发起了何种攻击事件,适用于演练行动中防守方每日汇报;也适用于日常安全运营中编写安全日报、周报、月报。欢迎各位Star,Fork、Issue、PR 环境&依赖 python3 pandas(必选,用于处理csv) pyinstaller(可选,exe打包用) 本工具支持包含与排除两种正则过滤器,主要用于过滤误报或者需要特别关注某些ip、事件的情况。请在conf目录下的filter.csv文件中进行配置。配置说明为: 第一列:过滤模式[in=包含,ex=排除] 第二列:字段列号[0=源地址,1=目的地址,2=攻击方式] 第三列:匹配值[正则匹配] 第四列:备注 例如: ex,0,114.114.114.114,备注 为:排除源地址是114.114.1114.114的事件 in,2,暴力破解,备注 为:仅查看事件名称中包含暴力破解的事件 当过滤器文件内容发生改动时,工具会自动对数据进行重新整理,可直接刷新网页页面。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号