最后更新于2020年11月10日星期二13:54:29 GMT

用于分析网络传感器数据的多组查询Top 5

We launched 洞察网络传感器 从今年年初到现在,它已经被新老客户广泛采用. 这一成功背后的主要用例是对网络可见性的需求. 客户想知道他们的网络上发生了什么, 根除任何安全问题, 并保持他们的网络高效运行.

在与客户讨论Insight Network Sensor时, 一个常见的请求是对网络数据进行更紧密的集成 InsightIDR. 当与代理和日志数据结合使用时,客户可以看到网络数据的强大功能, 他们还希望有更多的方法来可视化数据,并在检测到可疑活动时生成警报. Right now, 我们正在开展一些项目,以帮助客户从他们的Insight网络传感器中获得更多.

日志搜索中的一个最新更新称为 “LEQL Multi-groupby” 开辟了一系列可视化网络数据的新方法. 该特性允许客户在日志数据搜索中按多个字段进行分组. 使用LEQL多组比, 通过在单个查询中分组最多五个字段,客户可以在日志搜索中可视化更多数据, 减少他们需要在多个选项卡中运行的查询数量,使他们的搜索更高效.

有很多方法可以使用这个新功能. 以下是我最喜欢的五个可用于可视化网络传感器数据的多组查询:

1. 显示用户正在使用哪些应用程序将数据导出到网络之外和网络中

数据泄露一直是网络和安全管理人员的热门话题. 我经常被问到的一个问题是, “我怎样才能知道哪些用户从网络发送数据,以及他们在使用什么应用程序?”

以下查询可用于按用户名对所有网络数据进行分组,然后对其进行分解,以显示用于从网络导出数据的网络协议和应用程序. 使用网络流日志集.

(方向=“出站”)groupby (source_user吗, 计算(sum: "total_bytes")

下图显示了一个示例输出. Here, 我们可以看到顶级用户,我们可以看到像Dropbox这样的应用程序被用来传输数据.

您还可以使用类似的查询来执行相反的操作,并显示用户正在使用哪些服务和应用程序将数据下载到网络中. 使用这个查询来检查您自己的数据.

(方向=“入站”)groupby (source_user吗, 计算(sum: "total_bytes")

2. 显示哪些国家和相关的应用程序正在连接到网络

我们发现这个查询在监视在家工作的用户时非常有用. 它允许您查看入站连接来自哪些位置,并对正在使用的应用程序进行细分. 远程用户通常会通过VPN使用加密协议连接到网络. 我使用此查询来根除可疑的入站流量,例如远程桌面协议(RDP)或服务器消息块(SMB)。. 这些协议经常被网络罪犯用作攻击媒介. 使用网络流日志集.

(方向=“入站”)groupby (geoip_country_name吗, 计算(sum: "total_bytes")

下图显示了一个示例输出. 在这里,我们可以看到到我们网络的入站连接最多的国家,以及正在使用的应用程序的细分.

3. 显示DNS服务器和关联的DNS查找

监视网络上的DNS活动是任何网络安全策略的重要组成部分. 您可以通过从DNS服务器捕获日志文件和被动地从网络流量捕获DNS元数据来实现这一点. DNS元数据可用于通过交叉引用具有已知不良域名的域来检查网络上的可疑活动. DNS元数据的另一个用例是数据归属, 域名显示在IP地址旁边.

此查询允许您查看网络上正在使用的DNS服务器,并提供它们正在解析的域的细分. 这对于识别网络上没有使用官方或公司DNS服务器的任何客户端非常有用. 在日志搜索中使用DNS查询日志集.

groupby (dns_server_address top_private_domain) \

下图显示了一个示例输出. 在这里,我们可以看到一个DNS服务器被用来解析许多微软服务. 如果我们计划阻止对外部DNS服务器的访问,这可能是重要的信息.

4. 显示哪些系统正在触发IDS事件

如果您在网络上部署了一个或多个入侵检测系统, 检查网络上哪些资产触发了最多的事件可能是值得的. 下一个查询允许您按IP地址对所有IDS警报进行分组,并对它们所触发的警报进行二次分组. 我经常发现,网络上的少数系统可能要为很大比例的IDS事件负责. 修复或调优这些警报可以显著减少IDS事件的总量. 在日志搜索中使用IDS Alert日志集.

Groupby (source_ip,严重性,描述)

下图显示了一个示例输出. 在这里,我们可以看到两个外部系统负责所有IDS事件的很大一部分. 深入研究,我们可以看到所有事件都只与两个IDS签名相关联.

5. 显示用户正在连接的主要国家和应用程序

这种类型的查询对于跟踪用户从网络内部连接到的内容一直很有用. 另一种变体是切换分组的顺序,以便在顶层显示应用程序.

如果用户通过VPN连接,输出也很有用. 如果您没有实现分割隧道, 你的VPN网关可能会有很多不需要的网络流量. 不需要的流量可能是视频流或云备份, 这会导致拥塞并消耗宝贵的带宽. 使用网络流日志集.

(方向=“出站”)groupby (geoip_country_name吗, 计算(sum: "total_bytes")

下图显示了一个示例输出. 在这里,我们可以看到来自我的网络的大部分数据被发送到在美国注册的IP地址.K.使用的主要应用是Dropbox.

这只是网络流量数据和我们最新的日志搜索更新可能实现的强大可视化和分析的一个小示例, LEQL Multi-groupby. 在我们最近的博客文章中了解更多关于Multi-groupby的信息.

NEVER MISS A BLOG

获取有关安全的最新故事、专业知识和新闻.