回到2016年的方式新的遗物安全团队讨论了我们如何利用新的遗物见解来监控潜在的威胁和安全事件。
四年后,我们介绍了一些365亚博 到了新的遗物平台,所以我们决定通过将它们转换为Nerdlets来使我们的安全仪表板更加用户友好且灵活新遗物一个SDK。这正是我们在这篇文章中解释的内容。我们记录了我们的过程并拥有使源代码可用,所以你也可以尝试。
逃避我们的“黑匣子”
直到最近,我们正在使用早期版本的网络遥测集成。整合发送SFLOW.和IPFIX.数据到新遗物,我们在长期复杂的NRQL查询中使用了几个仪表板中的数据。仪表板通过时间,异常的交通类型和源等流量显示了度量。我们甚至成功地使用它们来识别和排除至少一个安全事件。
仪表板和底层查询在团队成员的多个迭代中幸存,直到它成为一个“黑匣子” - 我们知道它的工作,但不确定如何。通过不断变化的基础设施,我们的查询变得过时,我们的仪表板无法使用。我们意识到如果我们想继续跟踪异常数据,我们需要一个改造。
从仪表板到应用程序
在我们之前的迭代中,我们有一组静态查询,我们用于创建每个仪表板。要替换静态查询,我们写了一个书呆子从划痕,让我们过滤并创建自己的查询。值得注意的是,我们的书呆子依赖于此新的遗物数据库从网络遥测集成产生的数据。这是我们提出的:
在这种情况下,我们能够使用顶阶的文本字段添加过滤器值 - 例如删除特定的IP地址或协议号。我们还可以通过按下滤波器X在顶部的每个过滤器值旁边。每次我们按下+或者X,使用正确的结果重新呈现Nerdlet的其余部分。
一旦我们喜欢“过滤器集”,我们可以复制并粘贴底部的NRQL查询并在警报或仪表板中使用它。在这种情况下,我们的下一步是开始创建专注于我们所知道的特定协议的带宽使用的警报,并且对于不应生成大量流量的网络段。
现在,让我们来看看我们如何创建这个书呆子。我们将其崩溃成五步,如果你想尝试类似的东西,你可以从这个主人那里获取代码。
第1步:在状态下存储搜索参数值
在我们的状态对象中,我们存储多个数组,一个阵列,每个过滤器类型在顶行上类型:
第2步:飞行的Craft NRQL查询
一旦我们在阵列中有值,我们就可以使用简单的字符串连接技巧开始构建NRQL查询。在IP协议号的示例中,我们添加ProtocationIdentifier = 当我们想要过滤特定的协议号时。您还可能会注意到此方法将介绍几个在哪里条款。谢天谢地,NRQL将此行为解释为多个和条款。
第3步:为最终的NRQL查询制作并为文本字段设置一些临时值
在我们的渲染功能开始,我们建立了两个主要的东西:我们的TemptextBoxValues.对象将保存用户输入的值和最终NRQL查询。
第4步:渲染过滤功能
我们创建了一些辅助函数,以在顶部呈现过滤器栏。关键是利用JavaScript将通过引用而不是值传递JSON对象的事实,允许onchange.lambda修改TemptextBoxValues.从第三步。在我们的代码的渲染部分中,我们用一行调用它:
{this..populatepoolbarstack(quptextboxvalues)}
步骤5:使用我们的最终查询呈现图表
在我们的渲染块中,我们现在可以使用镜像的图表对象创建网格项目NR1研讨会例子,但引用我们的填写目的。当用户单击过滤器按钮时,AutoSetFilters()调用函数并将更新状态对象和触发器以重新呈现页面。
下一步是什么?
我们真正想要的是新的遗物一个平台成为我们自己的平台安全信息和事件管理(暹粒),但我们还没有那么。目前,我们计划在向新遗物发送到新遗物之前在日志上添加预处理逻辑。此预处理可以作为我们的相关性,并寻找不同事件类型发生的日志。似乎这在一个新的遗物一个应用程序中可能是可能的,但我们仍在研究浏览器会话的上下文之外处理数据的想法。
