【最佳實踐】使用DLV查看某企業安全態勢

本文檔介紹某企業安全態勢監控大屏的創建過程，為云上企業的安全事件處置提供可視化的決策依據。

特點如下：

使用實時業務態勢，可以實時檢測，有效防范每一起安全事件。

使用地理化訪問軌跡，通過2D、3D地圖組件使安全威脅來源一目了然。

使用表格組件的條件樣式，對風險等級做出明顯區分，可以快速捕獲高風險攻擊源。

列舉展示內容：根據內容選擇組件，該項目需要展示企業網站的訪問情況與網站受攻擊情況。內容主要包括兩大類：訪問信息與攻擊信息。

訪問狀態下的訪問信息與使用的組件類型如下表所示：

訪問信息

組件類型

訪問區域排行

區域排行

網站訪問區域

中國地圖

訪問趨勢

線狀圖

實時攻擊信息

輪播表格

攻擊狀態下的攻擊信息與使用的組件類型如下表所示：

攻擊信息

組件類型

攻擊區域排行

區域排行

攻擊類型排行

輪播表格

攻擊趨勢

線狀圖

攻擊源

地球

已開通關系型數據庫RDS，并創建“數據庫引擎”為“MySQL”的實例“rds-secure0”。

已購買云數據遷移CDM，新建集群“cdm-secure”。

說明：

新建CDM集群“cdm-secure”時，在“購買云數據遷移集群”頁面中的“虛擬私有云”、“子網”、“內網安全組”信息配置需要和RDS實例“rds-secure0”一致。

數據準備

從https://dlv-public-image.obs.cn-north-1.myhuaweicloud.com/demo1.zip路徑下載數據至本地。

選擇創建好的RDS實例“rds-secure0”，輸入用戶名和密碼登錄到云上數據庫MySQL，在“rds-secure0”根目錄創建數據庫“dlv”，選擇“導入·導出 > 快速導入”將下載的sql數據導入到數據庫中。

創建云數據庫MySQL連接

登錄DLV控制臺。

選擇“我的數據 > 新建數據連接”。

在“新建數據連接”頁面，選擇建立“云數據庫MySQL”的連接。

設置云數據庫MySQL名稱為“mysql_secure”，配置“mysql_secure”的域名、端口、用戶名、密碼、連接代理集群。點擊“獲取數據庫”，選擇數據庫“dlv”，單擊“確定”，數據源“mysql_secure”創建成功。如圖1所示。

圖1 創建mysql_secure

登錄DLV控制臺。

單擊“我的大屏 > 新建大屏”，

選擇空白模板，新建一個大屏名稱為“secure”的大屏。

圖2 新建大屏

在組件列表下的“文本”組件庫中選擇“標題”組件。

圖3 插入標題組件

單擊“標題”組件的“數據”面板，設置value值為“某企業安全態勢感知”。

圖4 某企業安全態勢感知

單擊“樣式”面板，配置標題的文本樣式。如圖5所示。

圖5 配置標題組件

在組件列表下的“地圖”組件庫中選擇“地球”組件。

圖6 插入地球組件

在“樣式”面板中配置飛線顏色樣式。如圖7所示。

圖7 飛線樣式配置

單擊“數據”面板，在字段映射處配置“from”映射為“attack_source”，“to”映射為“attack_dest”。在“數據源類型”的下拉選項中選擇“數據庫”，“選擇已有數據連接”的下拉選項中選擇“mysql_secure”，通過sql語句查詢攻擊數據，單擊“查看數據響應結果”。執行不同的sql語句，數據響應的結果不同，您可以根據不同的攻擊類型輸入不同的sql語句。

查詢攻擊類型XSS的sql語句：SELECT CONCAT(t.src_lng , ',', t.src_lat) as attack_source, CONCAT(t.target_lng, ',', t.target_lat) as attack_dest, COUNT(1) AS attack_num FROM dlv.ods_attack_log t where t.attack_type="XSS" GROUP BY t.src_lng , t.src_lat , t.target_lng , t.target_lat

查詢攻擊類型CSRF的sql語句：SELECT CONCAT(t.src_lng , ',', t.src_lat) as attack_source, CONCAT(t.target_lng, ',', t.target_lat) as attack_dest, COUNT(1) AS attack_num FROM dlv.ods_attack_log t where t.attack_type="CSRF" GROUP BY t.src_lng , t.src_lat , t.target_lng , t.target_lat

查詢攻擊類型sensitive_file的sql語句：SELECT CONCAT(t.src_lng , ',', t.src_lat) as attack_source, CONCAT(t.target_lng, ',', t.target_lat) as attack_dest, COUNT(1) AS attack_num FROM dlv.ods_attack_log t where t.attack_type="sensitive_file" GROUP BY t.src_lng , t.src_lat , t.target_lng , t.target_lat

圖8 XSS的數據響應結果

在地球“樣式”面板單擊“添加子組件”，下拉列表中選擇“地球飛線”。如圖9所示。

圖9 添加地球飛線組件

單擊“地球飛線”，進入“地球飛線”配置面板。在“樣式”面板中配置飛線顏色樣式。如圖10所示。

圖10 地球飛線樣式配置

重復3在“數據”面板中配置地球飛線數據，輸入查詢CSRF攻擊類型的sql語句，單擊“查看數據響應結果”。

重復4，5，6配置另外一組地球飛線樣式和數據，輸入查詢sensitive_file攻擊類型的sql語句，單擊“查看數據響應結果”。

在組件列表下的“常用圖表”組件庫中選擇“區域排行”組件。

在組件右側的“樣式”中配置組件樣式，“數據”面板中字段映射處配置“area”映射為“area_name”，“num”映射為“pv_num”，“數據源類型”的下拉選項中選擇“數據庫”，“選擇已有數據連接”的下拉選項中選擇“mysql_secure”，通過sql語句“select area_name,pv_num,percent from dw_pv_country order by 2 desc”查詢訪問區域排行，單擊“查看數據響應結果”。

圖11 訪問區域排行

在左側組件庫中拖動一個“標題”組件至“區域排行”組件的上方，并給標題組件命名為“訪問區域排行”。

右鍵單擊“區域排行”，選擇“拷貝”，復制一份新的區域排行組件。

圖12 拷貝區域排行組件

重復2配置組件樣式，“數據”面板中字段映射處配置“area”映射為“area_key”，“num”映射為“attack_num”，執行sql語句“select area_key,attack_num from dw_attack_province order by 2 desc limit 5” 訪問攻擊區域排行。

在“新的區域排行”組件上方配置一個名稱為“攻擊區域排行”的“標題”組件。

圖13 添加區域排行組件

添加“基礎平面地圖”和“標題”組件，標題組件命名為“網站訪問區域”，配置“基礎平面地圖”的組件“樣式”與“數據”。

基礎平面地圖在“數據”面板中配置字段映射后，執行sql語句：select area_key as name,pv_num as value from dw_pv_province;

添加“線狀圖”和“標題”組件，標題組件命名為“訪問趨勢”，配置“線狀圖”組件的“樣式”與“數據”。

訪問趨勢的線狀圖在“數據”面板中配置字段映射后，執行sql語句：select date_hour,pv_num from (select date_hour,pv_num from dw_pv_hour order by 1 desc limit 10) pv_hour order by 1;

復制2中的線狀圖和標題組件，生成一份新的線狀圖和標題組件。新的標題組件命名為“攻擊趨勢”。配置新的線狀圖組件的“樣式”與“數據”。

攻擊趨勢的線狀圖在“數據”面板中配置字段映射后，執行sql語句：select date_hour,attack_num from (select date_hour,attack_num from dw_attack_hour order by 1 desc limit 10) attack_hour order by 1；

圖14 添加基礎平面地圖、線狀圖組件

添加兩個“表格輪播”組件分別展示攻擊詳細信息和攻擊類型排行。

在“數據”面板中配置字段映射后，執行攻擊詳細信息的sql語句：

SELECT FROM_UNIXTIME(FLOOR(ROUND(date_time / 1000)), '%Y-%m-%d %H:%i:%S') as date_time, province_key, CONCAT('***', SUBSTRING(url, 20, 30), '***') url, t1.type_name_cn,(case risk_level when '8' then '高危' when '7' then '緊急' when '6' then '緊急' when '5' then '一般' when '4' then '一般' else '一般' end) as risk_level FROM ods_attack_log t, dim_attack_type t1 WHERE t.attack_type = t1.type_code AND province_key IS NOT NULL ORDER BY 1 DESC LIMIT 10;

在“數據”面板中配置字段映射后，執行攻擊類型排行的sql語句：

select attack_type_name, (case risk_level when '8' then '高危' when '7' then '緊急' when '6' then '緊急' when '5' then '一般' when '4' then '一般' else '一般' end) as risk_level,attack_num from dw_attack_type order by 3 desc;

為了表示不同風險級別，在“數據”面板的“風險系數”參數下的“條件樣式”頁簽中，設置紅色為高危級別。

圖15 表格輪播

最后添加背景圖片、邊框、時間器等素材。安全態勢感知大屏最終展示效果如下圖所示。

圖16 安全態勢感知大屏

大數據分析

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。