如何把NMAP掃描結果同步到Elasticsearch？

如果您對信息安全感興趣，那麼您可能熟悉埠掃描工具nmap。掃描器是用於網路發現和安全審計的免費和開源（許可證）實用程序。許多網路管理員也會使用它發現網路以及監視主機或服務正常運行時間等任務。

這將結果輸出到report.xml當前目錄中。您可以通過以下方式檢查掃描結果：

$ cat report.xml

...

現在，我們需要收集這份報告。對於本教程，我們創建了一個目錄「nmap」存儲報告和配置。我們將假設有多個報告要解析。

$ mkdir nmap

$ cd nmap

我正在修改logstash-nmap插件的github頁面上的一個配置。為了能夠使用我的配置，您需要從配置文件中引用的github頁面下載一個模板。

$ wget https://raw.githubusercontent.com/logstash-plugins/logstash-codec-nmap/master/examples/elasticsearch/elasticsearch_nmap_template.json

啟動Elasticsearch及Kibana，然手在自己的窗口中打開Kibana。

$ sudo service elasticsearch start

$ cd?/ kibana- *

$ cd bin /

$ ./kibana&

現在回到nmap目錄。您現在應該只有這個目錄中有兩個文件。

$ cd ~/nmap

$ ls elasticsearch_nmap_template.json report.xml

將您的logstash配置添加到目錄。我將它添加到一個名為的文件中nmap-logstash.conf。

要使用logstash nmap編解碼器插件，您需要安裝它。導航到您的logstash目錄。在我的伺服器上，該目錄位於/opt/logstash。

$ cd/ opt /logstash

$ sudo bin /logstash-plugin install logstash-codec-nmap

您可能需要安裝ruby-nmap才能安裝此插件。在您這樣做之前，請確保安裝：

$ sudo apt-get install ruby-dev

這是你應該在你的nmap-logstash.conf文件中：

input { file { path => "$HOME/nmap/*.xml" start_position => "beginning" sincedb_path => "/dev/null" codec => nmap tags => [nmap] } } filter { if "nmap" in [tags] { # Don t emit documents for down hosts if [status][state] == "down" { drop {} } mutate { # Drop HTTP headers and logstash server hostname remove_field => ["headers", "hostname"] } if "nmap_traceroute_link" == [type] { geoip { source => "[to][address]" target => "[to][geoip]" } geoip { source => "[from][address]" target => "[from][geoip]" } } if [ipv4] { geoip { source => ipv4 target => geoip } } } } output { if "nmap" in [tags] { elasticsearch { document_type => "nmap-reports" document_id => "%{[id]}" # Nmap data usually isn t too bad, so monthly rotation should be fine index => "nmap-logstash-%{+YYYY.MM}" template => "./elasticsearch_nmap_template.json" template_name => "logstash_nmap" } stdout { codec => json_lines } } }

現在你可以在你的配置上運行logstash。確保你有最新版本的logstash，特別是如果你無法安裝logstash-codec-nmap插件。

$/opt/logstash/bin/logstash - f nmap -logstash.CONF

如果你在使用OpenVas或Nessus。有一個腳本叫做VulnToE可以使用，可用於將Nessus，OpenVas，Nikto和Nmap同步到Elasticsearch中。該腳本使用了Elasticsearch的Python API。

$git clone https//github.com/ChrisRimondi/VulntoES

$cd VulntoEs/

$sudo pip install elasticsearch

在es中，創建要將數據索引到的索引。或者，您可以使用curl從伺服器的命令行創建索引。

$curl -XPUT localhost:9200/ nmap-vuln-to-es

現在，索引你的nmap報告。

$python VulntoES.py -i ~/report.xml -e 127.0.0.1 -r nmap -I nmap-vuln-to-es

您可以創建Kibana中nmap數據的可視化，並最終從這些可視化創建儀錶板。

結論

我們已將我們的nmap報告同步到Elasticsearch。使用VulnToE腳本也可以用於Nessus，OpenVas和Nikto報告。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！