View Triaged Alerts Using Kafka

You can view triaged alerts in the indexing topic in Kafka.

List the Kafka topics to find the threat triage alert panel:

/usr/hdp/current/kafka-broker/bin/kafka-topics.sh --zookeeper $ZOOKEEPER_HOST:2181 --list

View the threat triage alert Kafka topic:

cd $METRON_HOME/bin/.stellar
THREAT_TRIAGE_PRINT(conf)

The topic should appear similar to the following:

> THREAT_TRIAGE_PRINT(conf)
╔═══════════════════╤═════════╤══════════════════════════════════════════════════════════════════╤═══════╤═══════════════════════════════════════════════════════════════════════════════════╗
║ Name              │ Comment │ Triage Rule                                                      │ Score │ Reason                                                                                                                                 ║
╠═══════════════════╪═════════╪══════════════════════════════════════════════════════════════════╪═══════╪═══════════════════════════════════════════════════════════════════════════════════╣
║ Abnormal DNS Port │         │ source.type == "bro" and protocol == "dns" and ip_dst_port != 53 │ 10    │ FORMAT("Abnormal DNS Port: expected: 53, found: %s:%d", ip_dst_addr, ip_dst_port) ║
╚═══════════════════╧═════════╧═══════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════