态势感知 + DataV：安全可视化交互，这么玩儿

点击查看全文

在安全领域，“看见”的能力很大程度上影响着风险防御的有效性。将未知的风险以可视化的方式展示，让企业安全团队有“踏实感”和“存在感”。

在安全可视化上，阿里云首批MVP，千寻位置安全负责人傅奎想出了“跨界玩法”，用阿里云的两大产品：态势感知和DataV，实现交互式安全威胁发现。

Let's Make It True.

文章介绍的，是如何使用DataV大屏展现态势感知 DNS 会话日志，从而实现交互式安全威胁发现。

剧透一下最终效果，绝对值得试试：

所有 DNS 日志的节点（源地址、DNS服务器地址、要解析的域名）关系图。点选其中任一节点，关联点自动高亮，非关联节点则进入蒙版状态，要是有什么可疑的节点、关系、类目，一眼就看出来！

背景介绍

自打“态势感知”上线了新版的“日志”功能，团队成员就在摩拳擦掌寻思如何充分挖掘日志信息的价值，而不仅仅是用于故障诊断或事件调查。

其中，通过图形化展现不同网络资源节点的相互关系，进而实现交互式安全威胁发现，是最为理想的实现方式。此前尝试过 Graphviz、yEd、NetworkX 等方式，后来都因配置复杂，使用繁琐等问题放弃。

直到MVP 技术群里李文毅向大家推荐了 DataV，我想：是时候“make it true ”了！

产品介绍

以下材料援引自官方介绍，描述不准与我无关：

• 态势感知

“态势感知提供的是一项SAAS服务，即在大规模云计算环境中，对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析，并提供一个体系化的安全解决方案。”

• DataV 数据可视化

“DataV旨让更多的人看到数据可视化的魅力，帮助非专业的工程师通过图形化的界面轻松搭建专业水准的可视化应用。DataV提供丰富的可视化模板，满足您会议展览、业务监控、风险预警、地理信息分析等多种业务的展示需求。”

需求分析

态势感知的日志功能非常强大，目前支持查询：所有入站的7层数据、出入站栈的4层会话以及DNS双向日志。其中 DNS 日志有助于安全团队分析服务器是否遭受入侵，被植入木马病毒，存在异常请求等问题。

我们最关心的是：哪台服务器，通过哪个 DNS Server，解析了哪个域名？

针对该需求，如果有可视化的节点关系图辅助分析，那么威胁识别的效率将大幅提升。在没有使用 DataV 之前，通常的办法是使用一些图表工具进行展现，而且少不了定制化开发的工作量。DataV 的出现，大大解放了数据分析人员的双手，从而可以用于拖动进度条。仅仅通过少量的鼠标点击和基本的 API 配置，就能瞬间让你的数据充满活力，开口说话。DataV 自带节点关系图，并内嵌原生ECharts ，完全可以满足此类需求。

实现方法例

你一定很期待强劲的态势感知与性感的 DataV强强联合会是什么样子。期待不如行动，我们一起动手去实现吧。

导出态势感知 DNS 日志

登录阿里云控制台，进入安全（云盾）| 态势感知功能页，通过子菜单选择日志 new项目。

设置DNS 日志查询条件，分别是：

• 日志源：DNS
• 字段：qtype
• 判断条件：包含（目前只能选包含）
• 关键字：A

再设置好查询时间，点击搜索就可以啦。

系统很快就能返回查询结果，通过右上角导出结果将当前页（没错，，是当前页，，一次100条-_-）日志导出到Excel 中。如果需要更多数据，得依次翻页导出-_-。当然也有程序化解决方案，请往后看。

定制返回 JSON 串的数据源API

对导出的 Excel 文件进行数据抽取，关键是：

• 源地址：src_ip
• DNS Server：dst_ip
• 尝试解析的域名：qname

将源地址、DNS 地址、域名三项都纳入节点范畴，同时将源地址->DNS 地址、DNS 地址->域名纳入关系范畴，通过 HTTP 将节点 nodes 和关系 links 输出为 JSON 就是一个可用的API数据输入源。

别着急，作为良心分享，怎么能少了技术细节呢？

为了不影响阅读，我把数据格式化和 API 相关的具体内容放在后面环节。

定制 DataV 大屏，指定 API 数据源

点击查看全文