前言笔者在甲方公司,有幸参与近两次攻防演练。在这两次操作中,他也帮助公司逐步建立了一套SOC平台,并完成了对接NGFW、IDS、APT、WAF、终端安全等安全设备的安装上线,但一个痛点没有很好解决在操作过程中。演练期间,连队领导每天花5分钟时间听取辩护队的汇报。SOC平台展示的内容过于复杂和专业,无法表达和反映当时的安全攻击情况,于是萌生了造轮子的想法。.简介SOCSankeyGenerator是一种用于从SOC日志中进行数据ETL和数据可视化的工具。它可以快速将日志呈现为Sankey图。桑基图常用于有数据流向关系的可视化分析,适用于描述安全中从源到目标发起了什么样的攻击,适用于演练中防御方的日常报表;也适用于日常安全工作中安全日报、周报、月报的编制。欢迎Star,Fork,Issue,PR(GitHub:https://github.com/LennyLeng/SOC_Sankey_Generator)环境&依赖python3pandas(必备,用于处理csv)pyinstaller(可选,用于exe打包)使用会记录这些文件被组织成一个CSV格式的文件,其中包含以下标题:源地址、目标地址、事件名称和事件数。放入csv目录下,根据提示运行mian.py或main.exe完成数据处理。最后浏览器访问http://127.0.0.1:8900即可。显示过滤器用法本工具支持两种常规过滤器,包括和排除,主要用于过滤误报或需要特别注意某些ips和事件的情况。请在conf目录下的filter.csv文件中配置。配置说明为:第一列:过滤方式[in=include,ex=exclude]第二列:field列号[0=源地址,1=目的地址,2=攻击方式]第三列:匹配值[正则匹配】第四列:备注例如:ex,0,114.114.114.114,备注为:排除源地址为114.114.1114.114的事件,2,暴力破解,备注为:仅查看包含暴力破解的事件在事件名称作为过滤器时,当文件内容发生变化时,工具会自动重新排列数据,网页可以直接刷新。最后说说我们的效果:现在我们使用这个工具每天导出三张图(全图、外网IP攻击图、活跃弱密码图),形成一个更直观的安全日报,其中外网IP攻击图和活动和弱密码图通过过滤器提取。提交公司CISO审核,通过内部沟通工具反馈整改闭环。
