数据透视表在信息安全分析中的应用

许多人都知道如何将IP地址和端口列表导入Excel进行排序和搜索，但很少有机会进行更深入的分析。Excel数据透视表是一个很好的进阶工具，提供了简单而强大的数据分析界面。动态数据透视表比使用grep、cut、sort、uniq、sed和awk等bash命令更加友好。此外，对于安全领域的新手来说，Excel比替代方案更易上手。

在初始评估侦察期间，我通常运行SpooNMAP并将Nmap输出保存为XML文件。一个方便的工具Nmap-xml2csv可以从XML数据创建简单的CSV文件，并能很好地导入Excel。在本例中，我们使用来自多分支办公室DMZ网络私有侧的虚构扫描数据。

虽然Excel界面随时间变化（并可能继续变化），但高级设置通常包括高亮CSV数据并插入数据透视表。（我个人更喜欢将表格放在新标签页中。）

创建后，表格将显示为空。将出现一个新界面，允许我们动态地切片和切块数据。

让我们从一个简单的摘要开始，查看扫描中捕获的每种服务的数量。通过将"Service"拖到"Rows"，然后再次将"Service"拖到"Σ Values"，我们得到了Nmap扫描中捕获的每种服务实例的求和。（如果在"Σ Values"框中得到"Sum"而不是"Count"，请继续阅读文章。）在这个例子中，有几件事对DMZ来说看起来很有趣。

虽然明显的Windows盒子出现在DMZ中让我感到惊讶，但我对相对较多的ISAKMP服务更感兴趣。让我们获取一些详细信息。将"Service"移动到"Filter"，将"IP"拖到"Rows"。数据出现后，我们可以调整过滤器以仅显示isakmp，并按升序对IP行进行排序。

在确保自动计算的总计符合预期后，我被IP地址最后一个八位字节的模式所吸引。此外，之前提到的HTTP服务和SSH服务有类似的数量。让我们将"Service"移动到"Columns"，并过滤isakmp、http和ssh列。

我们感兴趣的25台主机都包括Web和SSH服务。考虑到这一点，以及每个/25 IP地址范围末尾最后一个八位字节的奇怪限制，我会继续认为这些是VPN网关设备，而IP地址空间是某种分支办公室的逻辑组织。我会好奇为什么HTTP可用而HTTPS不可用。此外，整个扫描还包括另外两个具有可用HTTP服务的IP地址。让我们快速转向这些。

更奇怪的是，.111的系统似乎只运行未加密的HTTP。也许它是无意中暴露的？我会确保它得到一些关注。以.162结尾的系统有几个重要的服务可用。也许它是某种聚合服务主机；我认为值得花些时间研究。让我们重新开始，通过查看IP地址、主机名（如果可用）和开放端口来寻找新角度。哎呀…有些不对劲…

这里发生了什么？Excel将"Ports"值识别为数字，并试图通过将它们相加来帮助我们。我们可以通过将"Σ Values"更改为"Count"而不是"Sum"来使其再次有用。

更改为计数并调整列后，我们获得了另一个巧妙的信息。看起来这里可能有一个运行Windows的生产ERP系统。这也是评估的一个闪亮对象！

总之，使用数据透视表深入分析Nmap结果非常容易。简单的拖放透视有助于识别可能易受攻击的异常值（例如地址空间中单独存在的旧JetDirect服务）或收集有关更高优先级目标的有用信息（例如具有不必要暴露端口的SQL服务器）。如果你的表格变得混乱，清除所有内容并重新开始是微不足道的。下次当你时间紧迫且有太多IP地址需要查看时，考虑尝试这种方法。