最近弄完了兩個Kaggle專題,腦中一直在想,難道都必須一定要跑演算法然後才能夠來做資安分析,資安事件通常資料很多又很雜亂,Features欄位又多,但有沒有一個很有用的工具,可以幫助我觀察並進行一些資料的統計,例如:
- 資安設備回報出來的資安攻擊類型為何?
- 哪個攻擊IP最多?
- 攻擊多來至於哪個國家呢?
- 這些攻擊類型又有哪些可以觀察的小細節呢?
我去問了一個資安前輩,前輩推薦我可以去使用SPLUNk,藉由簡單的命令,就可以關聯出我要的資料,然後可以有漂亮的資料視覺化圖形。第一次嘗試與安裝後,真心愛上這個很棒的大數據分析工具!
底下為SPlunk初體驗,安裝與執行Splunk的步驟:
1. Splunk網站: https://www.splunk.com/
2. 下載Splunk本機版- Splunk Enterprise
- 一天有500mb資料導入索引,搜尋不用費用 (本機版對於我這個資安小白來說很夠用了,因為我的資料比起來真的很小很小)
- Splunk Cloud Platform: 這個把Splunk放在雲端,好處是可以用瀏覽器就看到分析結果,但是要錢.
- Universal Forwarder: 類似一個前端小機器,把資料導入到Splunk中控端
- Splunk Enterprise: 本機安裝版。
3. 安裝好的本機版Splunk:
- 打開瀏覽器: http://127.0.0.1:8000,就可以用安裝時設定的帳號與密碼登入了
登入後在Searching位置,可以開始下指令就可以看到原始的事件資料。繼續下指令就可以開始分析了!
