如何把NMAP掃描結果同步到Elasticsearch?
如果您對信息安全感興趣,那麼您可能熟悉埠掃描工具nmap。掃描器是用於網路發現和安全審計的免費和開源(許可證)實用程序。許多網路管理員也會使用它發現網路以及監視主機或服務正常運行時間等任務。
這將結果輸出到report.xml當前目錄中。您可以通過以下方式檢查掃描結果:
$ cat report.xml
...
現在,我們需要收集這份報告。對於本教程,我們創建了一個目錄「nmap」存儲報告和配置。我們將假設有多個報告要解析。
$ mkdir nmap
$ cd nmap
我正在修改logstash-nmap插件的github頁面上的一個配置。為了能夠使用我的配置,您需要從配置文件中引用的github頁面下載一個模板。
$ wget https://raw.githubusercontent.com/logstash-plugins/logstash-codec-nmap/master/examples/elasticsearch/elasticsearch_nmap_template.json
啟動Elasticsearch及Kibana,然手在自己的窗口中打開Kibana。
$ sudo service elasticsearch start
$ cd?/ kibana- *
$ cd bin /
$ ./kibana&
現在回到nmap目錄。您現在應該只有這個目錄中有兩個文件。
$ cd ~/nmap
$ ls elasticsearch_nmap_template.json report.xml
將您的logstash配置添加到目錄。我將它添加到一個名為的文件中nmap-logstash.conf。
要使用logstash nmap編解碼器插件,您需要安裝它。導航到您的logstash目錄。在我的伺服器上,該目錄位於/opt/logstash。
$ cd/ opt /logstash
$ sudo bin /logstash-plugin install logstash-codec-nmap
您可能需要安裝ruby-nmap才能安裝此插件。在您這樣做之前,請確保安裝:
$ sudo apt-get install ruby-dev
這是你應該在你的nmap-logstash.conf文件中:
input { file { path => "$HOME/nmap/*.xml" start_position => "beginning" sincedb_path => "/dev/null" codec => nmap tags => [nmap] } } filter { if "nmap" in [tags] { # Don t emit documents for down hosts if [status][state] == "down" { drop {} } mutate { # Drop HTTP headers and logstash server hostname remove_field => ["headers", "hostname"] } if "nmap_traceroute_link" == [type] { geoip { source => "[to][address]" target => "[to][geoip]" } geoip { source => "[from][address]" target => "[from][geoip]" } } if [ipv4] { geoip { source => ipv4 target => geoip } } } } output { if "nmap" in [tags] { elasticsearch { document_type => "nmap-reports" document_id => "%{[id]}" # Nmap data usually isn t too bad, so monthly rotation should be fine index => "nmap-logstash-%{+YYYY.MM}" template => "./elasticsearch_nmap_template.json" template_name => "logstash_nmap" } stdout { codec => json_lines } } }
現在你可以在你的配置上運行logstash。確保你有最新版本的logstash,特別是如果你無法安裝logstash-codec-nmap插件。
$/opt/logstash/bin/logstash - f nmap -logstash.CONF
如果你在使用OpenVas或Nessus。有一個腳本叫做VulnToE可以使用,可用於將Nessus,OpenVas,Nikto和Nmap同步到Elasticsearch中。該腳本使用了Elasticsearch的Python API。
$git clone https//github.com/ChrisRimondi/VulntoES
$cd VulntoEs/
$sudo pip install elasticsearch
在es中,創建要將數據索引到的索引。或者,您可以使用curl從伺服器的命令行創建索引。
$curl -XPUT localhost:9200/ nmap-vuln-to-es
現在,索引你的nmap報告。
$python VulntoES.py -i ~/report.xml -e 127.0.0.1 -r nmap -I nmap-vuln-to-es
您可以創建Kibana中nmap數據的可視化,並最終從這些可視化創建儀錶板。
結論
我們已將我們的nmap報告同步到Elasticsearch。使用VulnToE腳本也可以用於Nessus,OpenVas和Nikto報告。
點擊展開全文
※ExPetr會是BlackEnergy的變異體嗎?
※一篇文章了解爬蟲技術現狀
※Pwn2Own2017專題:VMWARE UAF漏洞分析
※愛奇藝優酷等18家視頻網站遭破解,會員視頻可免費觀看
※屢禁不止:一個敢於將自己注入到殺毒軟體中的鬥士
TAG:嘶吼RoarTalk |
※三星Galaxy S9+速度測試比拼iPhone X,結果誰敗了?
※小伙因穿Canada Goose被劫!結果是件假的
※原來根管「超充」也有好壞之分!「一字之差」結果卻大相徑庭,overfilling與overextension有何不同?
※來吃狗糧啦!Anime Trending一月新番CP人氣榜投票結果
※腮紅金iPhoneSE2碟機現世?結果是少女心iPhoneX鬧烏龍
※Jessica&Krystal 「鄭氏姐妹」合體拍攝畫報的結果
※Hedi Slimane離開YSL糾紛終有結果,前東家Kering要賠償近千萬工資!
※三星Galaxy S9與索尼Xperia XZ2在MWC大PK,沒想到結果是這樣
※因為喜歡Red Velvet的Irene進了SM工作,結果卻成為了他的經紀人!
※闢謠-中國產Triple S對比舊款義大利產Triple S 結果無任何差別
※iPhoneX與紅米5Plus防水測試:結果有驚喜
※26 歲的 IU 拍攝「New Balance 畫報」的結果
※iPhone 8 Plus對比老機型一加3T 結果很尷尬
※BLG對EDG掏出黑科技,結果諾手首次上場就被Clearlove安排了!
※將紅米5Plus與iPhoneX泡雪碧里 結果始料未及
※三星S9+/iPhoneX性能對決 Exynos和A11結果令人意外
※索尼回應XZ2系列砍掉3.5mm耳機孔:Ambient Flow設計妥協結果
※三星Galaxy S9測試結果:iPhoneX性價比不如S9?為啥三星這麼牛
※Radio Romance第一集,奔著金所炫追劇結果被尹斗俊圈粉了
※iPhone X和華為P20 Pro比拍照, 結果輸得很慘