Arkime(前身為Moloch)是一個專為安全分析師、網路工程師和研究人員設計的工具,它專注於提供高效、直觀的方式來捕獲、索引和搜尋網路流量,以便於進行深入分析。
Github官網:
GitHub - arkime/arkime: Arkime is an open source, large scale, full packet capturing, indexing, and database system.
Web官網:
https://arkime.com/index
Arkime 演示
一探究竟!
使用者名稱和密碼都是 。arkime
警告:任何人都可以看到您上傳的任何內容。
另外,請檢視我們錄製的演講和功能演示。
安裝部署案例:
https://blog.csdn.net/haoyunbin/article/details/131050113
產品介紹:
“會話”頁面
“會話”頁面顯示所選時間段的索引會話列表和搜尋表示式。 它包括時間線圖和會話結果的地圖。
搜尋
搜尋欄允許強大的搜尋查詢來縮小資料範圍。 選擇貓頭鷹以顯示可用欄位和表示式語法。
會話詳細資訊
獲取有關任何會話的詳細資訊並檢視會話的 透過選擇 + 按鈕來資料包資料。
價值行動
將滑鼠懸停並單擊任意值可檢視操作的下拉選單,例如 將該值用作搜尋條件。
匯出 PCAP
您可以透過選擇操作將搜尋結果匯出為 PCAP 或 CSV () 右上角的下拉選單。
時間軸搜尋
單擊並拖動時間線中的某個區域以按時間篩選會話。
國家搜尋
在地圖上選擇一個國家/地區以將其應用為搜尋條件。
SPI 檢視頁面
會話配置檔案資訊 (SPI) 檢視頁面允許您檢視每個捕獲欄位的唯一值以及會話計數。
切換類別
選擇任何部分以開啟或關閉任何欄位類別。
搜尋欄位
使用類別中的輸入框搜尋類別中的欄位。
切換欄位
在類別的頂部選擇一個欄位以切換該欄位的可見性。 您還可以選擇“全部載入”或“全部解除安裝”按鈕來載入或解除安裝所有欄位 在該類別中。
現場操作
選擇任何欄位的下拉選單進行檢視 可以對該欄位執行的操作,例如匯出唯一值 並開啟 SPI Graph 頁面。
取消載入
如果 頁面載入資料需要很長時間,或者您在以下情況下犯了錯誤 您發出了查詢。
SPI 圖形頁面
會話配置檔案資訊 (SPI) 圖形頁面顯示任何欄位的頂級唯一值的時態檢視。
全部
第一個時間線圖和地圖顯示了以下所有結果的聚合。 選擇此地圖上的 x 按鈕以隱藏所有地圖。
搜尋欄位
從左上角的 SPI Graph 下拉選單中進行選擇 檢視不同欄位的唯一值。
更多領域
更改“最大元素數”下拉選單選項以顯示更多結果。
排序
更改排序依據下拉選單選項以更改結果的排序方式。 預設情況下,從最高唯一欄位值開始對結果進行排序。
“連線”頁
“連線”頁面顯示搜尋結果的網路圖。
鎖定
單擊並拖動節點以將其鎖定在圖形上的位置。
節點資訊
將滑鼠懸停在節點或連結上可檢視詳細資訊(或隱藏資訊)。
節點/鏈路權重
更改節點/鏈路權重下拉選單選項以更改節點和鏈路大小的計算方式。
更改源節點/目標節點
從 Src 或 Dst 下拉選單中進行選擇,以基於視覺化您的資料 在不同的捕獲欄位關係上。
另存為 PNG
將圖形儲存為 PNG!
議會申請
Parliament 包含您的 Arkime 叢集的分組列表,其中包含每個叢集的連結、ES 執行狀況和問題。 瞭解更多關於議會的資訊!
Cont3xt 應用程式
Cont3xt 集中並簡化了一種結構化的方法,用於收集上下文情報以支援技術調查。 瞭解有關 Cont3xt 的更多資訊!
搜尋
它使用流行的商業和 OSINT 來源在結構化、一致和徹底的過程中豐富指標。 一些預設擴充整合包括 PassiveTotal、VirusTotal、Censys、Shodan 等。
外部來源連結
您可以新增自定義連結來查詢可用資源,這將簡化團隊對經常查詢的資源的訪問。
共享
與團隊成員共享針對特定檢視量身定製的連結,並使用連結過濾器來指導調查過程。
報告
下載完整報告或響應資料子集。
Cont3xt 演示
一探究竟!
使用者名稱和密碼都是 。arkime