地理情報を取得して、どこから不正アクセスがあったのか分布図を出す。

数回に分けて、cowrieでsshの不正アクセスの実態を取得するようにしてきた。

1. ハニーポットcowrieのログを、mariaDBで管理しよう
2. cowrieの不正侵入ログをelasticsearchにデータを入れる
3. td-agent2-2-1ではfilterが使えるように

構成としてはこのような感じ。

今回は不正アクセスIPを利用し、地理情報を得て、どの国からのアクセスが多いのかをkibana4を使って出してみた。

GeoIPを設定する。

geoipをインストールする。

yum -y install geoip-devel

地理情報のデータベースをアップデート

/usr/bin/geoipupdate

fluentdでgeoipを扱うプラグインをインストールする。

/opt/td-agent/embedded/bin/fluent-gem install fluent-plugin-geoip

td-agentの設定

td-agent.confでIPアドレスを元に国コードとロケーションを取得する。

<match geo.replicator.**>
  type geoip
  geoip_lookup_key ip
  <record>
    country  ${country_code['ip']}
    location ${latitude['ip']},${longitude['ip']}
  </record>
  remove_tag_prefix geo.
</match>

elasticsearchの設定

デフォルトのままだと、全てstring扱いになり、地理情報として扱ってくれないので、いったんマッピングを削除

curl -XDELETE localhost:9200/*

独自に定義したjsonファイルを作成する。今回はこんな感じ。

$ cat mapping.json
{
  "mappings": {
      "cowrie": {
        "properties": {
          "country": {
            "type": "string"
          },
          "id": {
            "type": "long"
          },
          "ip": {
            "type": "string",
            "index" : "not_analyzed"
          },
          "location": {
            "type": "geo_point"
          },
          "password": {
            "type": "string"
          },
          "timestamp": {
            "type": "date",
            "format": "dateOptionalTime"
          },
          "username": {
            "type": "string",
            "index" : "not_analyzed"
          }
        }
      }
    }
  }
}

マッピングする。

curl -XPUT localhost:9200/cowrie --data-binary @mapping.json

マッピングできているか確認

curl -X GET -w - http://localhost:9200/_mapping?pritty | jq -C '.'

td-agentを再起動。

systemctl restart td-agent

データ入っているか確認

$ curl "http://localhost:9200/cowrie/search/_search?size=100&pretty" | tail
      "_source":{"id":491,"timestamp":"2015-07-23T9:02:44+09:00","ip":"213.136.89.235","username":"melissa","password":"melissa","country":"DE","location":"51.0,9.0"}
    }, {
      "_index" : "cowrie",
      "_type" : "search",
      "_id" : "496",
      "_score" : 1.0,
      "_source":{"id":496,"timestamp":"2015-07-23T9:04:52+09:00","ip":"213.136.89.235","username":"albert","password":"albert","country":"DE","location":"51.0,9.0"}
    } ]
  }
}

kibana4の設定

kibana4を使ってデータを可視化する。

wget https://download.elastic.co/kibana/kibana/kibana-4.1.1-linux-x64.tar.gz
tar zxf kibana-4.1.1-linux-x64.tar.gz
mv kibana-4.1.1-linux-x64 kibana
cd kibana
./bin/kibana &

firewall-cmd --permanent --add-port 5601/tcp
systemctl start firewalld.service

http://localhost:5601/ にアクセスするとこのような画面。

elasticsearchのマッピングでlocationのtypeをgeo_pointにしているのでこのlocationを用いて地図上にどの国からのアクセスが多いかを可視化した。

データを可視化すると見えないものが見えて来る。
是非、現場で活用してみてはいかがだろうか。

---

参照URL

• fluent-plugin-geoip
• Kibana 4.1.0 + ElasticSearch 1.6.0 でデータビジュアライズ