Sankey Diagramに引き続き、Parallel Coordinatesも
こちらは拍子抜けするくらい簡単だった。
SPL
index=botsv1 sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=3 src=*srv.waynecorpinc.local
| table src dest app
その5にでてきたC&Cサーバの挙動をSysmonのログから可視化してみる。
結果
解説
EventCode=3でサーバのネットワークの挙動を検索
どのプログラムが動いているのかを表示してみた。
単純に表示したいものをtableにすると表示してくれるのでとても簡単。
なお、端末の挙動を検索するとBOT化されているのがわかる。
今回は表示量の削減のために除いた。
表示の一番最後あたりに__3791.exe__が見える。
まとめ
とりあえず一通りみるには便利かも。
表示量が多いと省略されてしまうので、そこだけ注意しなければいけない。
Sysmonいいな。