BeaKer:信标Kibana可执行报告。 使用Elasticsearch和Kibana聚合Sysmon网络事件

BeaKer-Beaconing Kibana可执行报告 通过带给您。 BeaKer可视化Microsoft Sysmon网络数据，以帮助威胁搜寻者追踪可疑网络连接的来源。 自定义仪表板显示了哪些用户和可执行文件在两个给定IP之间创建了连接，连接了多少次，使用的协议和端口等等。 入门 Sysmon开始将数据发送到ElasticSearch之后，Kibana将准备就绪。 按源IP和目标IP以及时间范围进行过滤，以查看两者之间建立了什么连接。 程序列表将显示源计算机上哪些可执行文件建立了到目标的连接。 实际的Sysmon日志显示在屏幕下方，您可以在其中更详细地调查事件。 这个怎么运作 Microsoft Sysmon：将网络连接记录到Windows事件日志中 WinLogBeats：将网络连接日志发送到Elasticsearch Elasticsearch：存储，索引和聚合网络连接日志