使用Neo4j可视化Windows日志

Posted 2020-10-02

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了使用Neo4j可视化Windows日志相关的知识，希望对你有一定的参考价值。

导语：大多数时候，这些都是以数据行的形式表示的，有时候我以看图表。当我我看到BloodHound项目时，我感觉我的图标形式显示比较老旧。我想要同样的视觉展示。

介绍

我花了很多时间在SIEM设备中找日志。大多数时候，这些都是以数据行的形式表示的，有时候我以看图表。当我我看到BloodHound项目时，我感觉我的图标形式显示比较老旧。我想要同样的视觉展示。

在这篇文章中，我想介绍如何使用 Neo4j可视化一些Sysmon日志。

入门

我快速的谷歌搜索，偶然发现这个的帖子，我学习了基础知识。第一步是抓住Neo4j的免费社区版本，可以在这里找到

安装完成后，您应该可以浏览http://127.0.0.1:7474/browser/访问Neo4j DB，默认用户/密码为neo4j/neo4j，在您在首次登录时更改密码。

第二步是使用配置文件安装Sysmon，在以前的文章中我介绍过Sysmon。

准备日志

现在，已经配置好Sysmon及Neo4j的设置，我们需要将日志转换成可以导入Neo4j的格式。我使用以下的PowerShell脚本：

这个脚本创建一个CSV文件

Import-Module C:UsersAntonDownloadsGet-WinEventData.ps1
$File = "C:UsersAntonDesktoplogs.csv"
Clear-Content "C:UsersAntonDesktoplogs.csv"
Add-Content $File -Value Source","Destination","DestinationPort","Application`n -NoNewline
$EventsID3 = Get-WinEvent -FilterHashtable @{logname="Microsoft-Windows-Sysmon/Operational";id=3} | Get-WinEventData | select EventDataSourceIp,EventDataDestinationIp,EventDataDestinationPort,EventDataImage
foreach ($Event3 in $EventsID3)
{
   $output = Write-Output $Event3.EventDataSourceIp","$Event3.EventDataDestinationIp","$Event3.EventDataDestinationPort","$Event3.EventDataImage`n
   Add-Content $File -Value $output -NoNewline
}

技术分享

为了简单起见，我将文件放入C:Users<Name>DocumentsNeo4jdefault.graphdbimport目录中

导入数据和Cypher查询

现在有了我们所需格式的文件，打开Neo4j界面，并在输入框中输入以下命令：

load csv with headers from "file:///logs.csv" AS csvLine
CREATE (source:address { address: csvLine.Source })
CREATE (destination:addressd { addressd: csvLine.Destination })
CREATE (DestinationPort:DestPort { destport: csvLine.DestinationPort })
CREATE (application:app { Application: csvLine.Application })
CREATE (source)-[:ConnectedTo]->(destination)-[:Using]->(application)-[:OnPort]->(DestinationPort)

第一行加载我们的CSV，

接下来的四个CREATE语句使我们的图形元素的源地址，目的地址，目标端口和应用程序

最后一个CREATE语句构建我们的关系。在这种情况下，我想知道什么源IP连接到什么目的地IP以及什么应用和目标端口。

技术分享