Arkime(前身为Moloch)-开源网络回溯系统
Arkime(前身为Moloch)是一个专为安全分析师、网络工程师和研究人员设计的工具,它专注于提供高效、直观的方式来捕获、索引和搜索网络流量,以便于进行深入分析。
Github官网:
Web官网:
https://arkime.com/index
Arkime 演示
用户名和密码都是 。arkime
警告:任何人都可以看到您上传的任何内容。
另外,请查看我们录制的演讲和功能演示。
安装部署案例:
https://blog.csdn.net/haoyunbin/article/details/131050113
产品介绍:
“会话”页面
“会话”页面显示所选时间段的索引会话列表和搜索表达式。 它包括时间线图和会话结果的地图。
搜索
搜索栏允许强大的搜索查询来缩小数据范围。 选择猫头鹰以显示可用字段和表达式语法。
会话详细信息
获取有关任何会话的详细信息并查看会话的 通过选择 + 按钮来数据包数据。
价值行动
将鼠标悬停并单击任意值可查看操作的下拉菜单,例如 将该值用作搜索条件。
导出 PCAP
您可以通过选择操作将搜索结果导出为 PCAP 或 CSV () 右上角的下拉菜单。
时间轴搜索
单击并拖动时间线中的某个区域以按时间筛选会话。
国家搜索
在地图上选择一个国家/地区以将其应用为搜索条件。
SPI 查看页面
会话配置文件信息 (SPI) 视图页面允许您查看每个捕获字段的唯一值以及会话计数。
切换类别
选择任何部分以打开或关闭任何字段类别。
搜索字段
使用类别中的输入框搜索类别中的字段。
切换字段
在类别的顶部选择一个字段以切换该字段的可见性。 您还可以选择“全部加载”或“全部卸载”按钮来加载或卸载所有字段 在该类别中。
现场操作
选择任何字段的下拉菜单进行查看 可以对该字段执行的操作,例如导出唯一值 并打开 SPI Graph 页面。
取消加载
如果 页面加载数据需要很长时间,或者您在以下情况下犯了错误 您发出了查询。
SPI 图形页面
会话配置文件信息 (SPI) 图形页面显示任何字段的顶级唯一值的时态视图。
全部
第一个时间线图和地图显示了以下所有结果的聚合。 选择此地图上的 x 按钮以隐藏所有地图。
搜索字段
从左上角的 SPI Graph 下拉菜单中进行选择 查看不同字段的唯一值。
更多领域
更改“最大元素数”下拉菜单选项以显示更多结果。
排序
更改排序依据下拉菜单选项以更改结果的排序方式。 默认情况下,从最高唯一字段值开始对结果进行排序。
“连接”页
“连接”页面显示搜索结果的网络图。
锁定
单击并拖动节点以将其锁定在图形上的位置。
节点信息
将鼠标悬停在节点或链接上可查看详细信息(或隐藏信息)。
节点/链路权重
更改节点/链路权重下拉菜单选项以更改节点和链路大小的计算方式。
更改源节点/目标节点
从 Src 或 Dst 下拉菜单中进行选择,以基于可视化您的数据 在不同的捕获字段关系上。
另存为 PNG
将图形保存为 PNG!
议会申请
Parliament 包含您的 Arkime 集群的分组列表,其中包含每个集群的链接、ES 运行状况和问题。 了解更多关于议会的信息!
Cont3xt 应用程序
Cont3xt 集中并简化了一种结构化的方法,用于收集上下文情报以支持技术调查。 了解有关 Cont3xt 的更多信息!
搜索
它使用流行的商业和 OSINT 来源在结构化、一致和彻底的过程中丰富指标。 一些默认扩充集成包括 PassiveTotal、VirusTotal、Censys、Shodan 等。
外部来源链接
您可以添加自定义链接来查询可用资源,这将简化团队对经常查询的资源的访问。
共享
与团队成员共享针对特定视图量身定制的链接,并使用链接过滤器来指导调查过程。
报告
下载完整报告或响应数据子集。
Cont3xt 演示
用户名和密码都是 。arkime
