ATD
2022-05-30 11:43:50 0 举报11
作者其他创作
大纲/内容
配置中心
KFK : vendor_parse通道
panku-alarm-correlation攻击链数据处理
CIC库 correlationrisk_host 表ids_false_positive_rules 表white_ioc 表
事件来源rate_\"name\" 表: geye.\"name\"Meta
zmq端口号为6391)awesome_notice
zmq端口号为6386、6486(离线模式)ratel_dns
Clickhouse组件
localhost:9092toppic: index_events通道
zmq端口号为6382、6482ratel_ips (修改NDE类型)
ZMQ:origin_events
是
字段标准化 ratel_ips/ratel_ipioc/awesome_notice 统一事件来源NDE
表: geye.connMeta
ZMQ
topic: awesome_notice
TFS监听 zmq端口号为6393 ratel_conn
3
表:geye.host_alarm
ES组件
数据目的地
CIC处理流panku-notice-pub
panku-cormatrix-pub离线分析(情报/SDE/DGA等)
panku-asset-pub资产识别
KFK : index_events通道
订阅kfk topic:correlation
zmq端口号为6391)awesome_notice(修改NDE类型)
UDP syslog
配置读取notice.syslog.send.close
host-correlation-data索引host-correlation-step索引host-correlation-event索引
asset_host主机表asset_service主机服务表asset_software主机软件表asset_account 主机账号表asset_domain 主机域名表
表: geye.dnsMeta
威胁事件panku-notice-pub
zmq端口号为6389、6489(离线模式)ratel_ipioc(修改NDE类型)
zmq端口号为6381、6481(离线模式
非CIC平台情况
ratel根据ip情报输出的威胁事件
true
zmq端口号为6388、6488(离线模式)ratel_ssl
KFK topicassets_detect通道
TCP syslog
协议数据类型
表: geye.sslMeta
通过配置判定是否进行落kafka
notice.enrich配置data.json=true
CIC平台情况
协议元数据panku-abmatrix-pub
1
Flink数据处理流程
syslog是否发送
kfk端口9092:toppic: index_alarm
表: geye.httpMeta
4
配置is.need.rout.to.dif.topic
数据源
表: geye.icmpMeta
vendor-*索引业务端可配置
SysLog服务配置 读取表:geyecloud_syslog_config
读物配置平台是CIC 并且 存储ck
zmq端口号为6385、6485ratel_http
KFK : origin_meta
zmq端口号为6387、6487(离线模式)ratel_icmp
zmq端口号为6384、6484协议类型 ratel_conn
panku-sensor-assert资产定时清理
读取CIC.access_conf表配置
Syslog
toppic: dnsChannelhttpChannelconnChannelsslChannelicmpChannelothersChannel
index_events.is.sink.kafka
2是
ratel根据ids规则输出的威胁事件
panku-vendor-pub第三方数据处理
mq类型
panku-hunter-pub情报检测(黑名单)任务
MySql
除ratel以外其他检测引擎输出的威胁事件
表:geye.event_data
落库
0 条评论
下一页
