分享在過去幾年採用 Graylog Open 版本打造企業資安戰情中心的經驗，從記錄收容、擷取及分析出關鍵資料數據呈現在易讀的資訊看板上，再搭配接取外部多種開源情資進行判斷，甚至是與 Grafana 進行整合做出更多樣化的圖表看板，達至最低成本下做出最大效果。在議程中將會分享多種實際案例的看板、情資與圖表用法。 https://cybersec.ithome.com.tw/2024/session-page/2755

1. Blue Team Forum
Graylog Open 打造資安戰情中
心
經驗分享
Jason Cheng
Technical Director
www.jason.tools
鄭郁霖
技術總監
節省
工
具箱有限公司

2. 原
廠
Graylog
商業公司
美、德國
開源軟體
商
用
軟體

3. 鄭郁霖
JASON CHENG
簡
介
節省
工
具箱有限公司 / 創辦
人
兼技術總監
中華
民
國軟體
自
由協會 / 常務理事
耀達電腦、晟鑫科技、五倍紅寶
石
等公司 / 技術顧問
資展國際、崑
山
科
大
推廣教育 / 講師
2020, 2022 InfoSec Taiwan 台灣國際資安
大
會 / 講者
2019 OpenInfra Days Taiwan / 講者
2020 COSCUP 開源
人
年會 / 講者
2019 CyberSec Taiwan 台灣資安
大
會 / 講者
2018, 2019 國際資訊安全組織台灣
高
峰會 / 講者
CEH, ISO 27001 LA

4. 功能概觀

5. 系
統
網
頁
介
面
功能豐富
開放架構
擴充外掛
更新快速
系統特點

6. 架
構
端點
使
用
者
伺服器
存放記錄與索引
存放記錄以外的所有設定
(input, stream, extractor, pipeline, rule, alert…)
(log, data, index...)
OpenSearch
MongoDB
Graylog

7. 架
構
單點架構
* 相關埠號配置依使
用
者環境習慣調整，此處僅為範例

8. 架
構
叢集架構
node 1
node 2
node 3
* 若要更進階提升容錯能
力
，可以在進入 Graylog 前再架
一
層負載平衡

9. 功
能 集中保存
多種來源
GELF, Syslog,
CEF, NetFlow,
Raw...等
擷取外掛
搭配 NXLog:
Eventlog,
Text File,
DB Record...
事件收容

10. 搜
尋 搜尋列
快速篩選
進階語法
資料時間軸
詳細記錄
記錄搜尋

11. 擷
取
自
訂擷取
多種
方
式
Copy input,
JSON,
Grok pattern,
Regular expression,
Replace & Regex,
Split & Index,
Substring,
Lookup Table
下載擴充
Graylog Marketplace
欄位擷取

12. 看
板
立
即取
用
快速統計
趨勢變化
圖表識別
排
行
榜
地理位置
資訊看板

13. 整
合
情
資
整合情資：OTX

14. 整
合
地
理
整合資料：GeoIP

15. 對
照
表
對照表範例：IP 與 FQDN

16. 對
照
表
對照表範例：UID/SID 與 Username

17. 對
照
表
對照表範例：開源 IP 情資
https://github.com/jasoncheng7115/it-scripts/blob/master/graylog/get_blocklist_de.sh
https://github.com/jasoncheng7115/it-scripts/blob/master/graylog/get_blocklist_ciarmy_malicious.sh

18. 實際案例
看板過多時間有限，以下快速帶過

19. 功
能 登
入
失敗
帳
戶
排
行
失敗來源
認證主機
嘗試時間
AD 網域
一

20. 功
能 帳
戶
鎖定
鎖定主機
來源主機
鎖定排
行
解鎖事件
鎖定時間
AD 網域
二

21. 功
能 OpenLDAP
Samba
使
用
命令
連線來源
繫結帳
戶
篩選對象
搜尋基礎
網域
本例採
用
UCS (Univention Corporate Server)

22. 功
能
Windows
處理程序
父
處理程序
發
生
時間
使
用
者
訊息內容
執
行
記錄

23. 功
能 隔離郵件
垃圾郵件
惡意郵件
拒絕來源
地圖顯
示
情資整合
郵件服務

24. 功
能 國家統計
隔離郵件
收件排
行
寄件排
行
拒絕排
行
郵件服務

25. 功
能 認證結果
存取來源
通訊協定
鎖定帳
戶
存取記錄
系統命令
郵件安全

26. 功
能 客
戶
端
Http 狀態
來源位址
要求路徑
時間趨勢
網
頁
服務

27. 功
能 後端站台
來源位址
來源國家
狀態碼
參照網址
反向代理
Nginx

28. 功
能 來源位址
地理城市
軟體版本
平台分佈
認證結果
事件趨勢
VPN 服務
OpenVPN

29. 功
能 時間分佈
帳
戶
分群
起迄時間
登
入
清單
VPN 服務
Fortigate

30. 功
能 排
行
榜
來源 IP
類型
名稱
Flag
DNS 服務
Windows

31. 功
能 排
行
榜
來源主機
來源 IP
查詢名稱
查詢類別
DNS 服務
Bind9

32. 功
能 事件數量
來源分佈
查詢類型
熱度圖
DNS 服務
Unbound

33. 功
能 排
行
榜
MAC 資訊
IP 配發
裝置名稱
伺服器統計
大
量 DHCP 伺服器
數集中統計
DHCP 服務
OPNsense

34. 功
能 稽核記錄
使
用
模組
操作
行
為
帳
戶
登
入
來源位址
檔案異動
檔案共
用
網路硬碟
Nextcloud

35. 功
能 稽核記錄
時間分佈
刪除檔案
使
用
者
來源
統計數量
網路硬碟
Windows

36. 功
能 稽核記錄
應
用
程式
登
入
記錄
來源 IP
資料夾
檔案存取
網路硬碟
Synology

37. 功
能 檔案動作
時間分佈
刪檔排
行
行
為監測
檔名路徑
來源 IP
網路硬碟
Synology

38. 功
能 熱度圖
應
用
程式
使
用
者
交叉分析
防火牆
Paloalto

39. 功
能 熱度圖
應
用
程式
來源
目
的
交叉分析
防火牆
Fortigate

40. 功
能 處理動作
事件趨勢
封鎖事件
來源統計
目
的統計
協定統計
防火牆
Nusoft

41. 功
能 事件趨勢
通訊協定
處理動作
應
用
程式
來源統計
目
的統計
防火牆
OPNsense

42. 功
能 封包分析
來源國家
行
為分類
阻擋封包
阻擋來源
統計分析
防火牆
OPNsense

43. 功
能 備份失敗
複寫失敗
磁碟錯誤
Disk I/O Error
Ceph OSD Error
節點事件
故障隔離 Fence
虛擬平台
Proxmox VE

44. 功
能 中
止
程序
OOM-Killer
作業記錄
客體事件
高
可
用
HA 觸發
主控台連線
登
入
帳
戶
與
目
標
使
用
起迄時間
虛擬平台
Proxmox VE

45. 功
能 搜尋條件
時間範圍
判斷式
門
檻值
警報定義

46. 功
能 電
子
郵件
警報範本
排板格式
自
訂欄位
警報通知

47. 開發擴充

48. 開
發
擴
充
更豐富的圖表
資料整合顯
示
多種來源並列
Grafana 整合
但是...在 Grafana 端
沒有 Graylog 關聯查
詢與互動等進階功能

49. 開
發
擴
充
連動外部裝置
Call API / CLI
執
行
預期
行
為
例：
自
動重啟服務，或者
將惡意 IP 經由防
火
牆 API
寫
入
拒絕清單
其它整合

50. 開
發
擴
充
警告事件轉送
統
一
警報管理
客製警報內容
擴充通知管道
可使
用
LibreNMS 豐富的
通知能
力
，如 Telegram,
Teams, Slack, LINE
…
等
LibreNMS 整合

51. 開
發
擴
充
通知應
用
場景：警報事件轉拋 SOC
https://github.com/jasoncheng7115/it-scripts/blob/master/graylog/rscef.py
符合條件
記錄傳送
CEF▸SOC
https://github.com/jasoncheng7115/it-scripts/blob/master/graylog/rscef-srv.py

52. 開
發
擴
充
API 應
用
場景：匯出惡意 IP 情資
https://github.com/jasoncheng7115/it-scripts/blob/master/graylog/export_wdrop_iplist_to_file.py
自
動排程
轉出惡意
IP CSV檔

53. 參考資料

54. 節省
工
具箱公司
www.jason.tools
節省
工
具箱網誌
blog.jason.tools
連
結

55. 謝謝您。
節省
工
具箱有限公司
結
束
企業應
用
開源軟體
方
案導
入
專家