看到隔壁先進今年的鐵人寫的文章，去年時有小研究一下
https://ithelp.ithome.com.tw/users/20084806/ironman/1986

電子書連結: https://the-eye.eu/public/Books/HumbleBundle/practiceofnetworksecuritymonitoring.pdf

security-onion會與selks做比較，兩個目前都走到用Elasticsearch當搜尋平台 (目前觀察下來Monitor相關的資料平台都嘗試採用ES，是可以好好研究的課題。 security-onion學習資源比較多，Sam Bowne去年有開課，可以參考一下https://samsclass.info/50/50_F17.shtml

在還沒搭自己環境手癢想玩一下的話可以先到Cisco點Free Trial第二章試試
https://learningnetworkstore.cisco.com/ccna-cyber-ops/implementing-cisco-cybersecurity-operations-secops-v1-0-elt-secops-v1-0-020709

下面是我的操作過程

1. 在Security Onion 開Sguil 監控eth1
2. 開Terminal切換至su (將封包往接口丟tcpreplay -i eth1 /opt/samples/markofu/outbound.pcap查看監控的到告警訊息
   
3. 選一個訊息右鍵不放，移至wireshark
   
4. 到File => Export Objexts => HTTP，選swing-mechanics.doc.exe 下載下來
5. 執行strings swing-mechanics.doc.exe，查看內容有反向IP及註冊表執行動作
6. 把檔案上傳至https://www.hybrid-analysis.com 分析，大部分的網站辨識此程式有問題。用ELSA分析該IP之前的log
   
7. 點選mime_type(Multipurpose Internet Mail Extensions)找尋夾帶附件型態application/x-dosexec，查看之間IP通訊
   
8. 點選info進到capME!，查到連接C2的動作紀錄!
   
9. 點選mime_type(Multipurpose Internet Mail Extensions)找尋夾帶附件型態application/x-dosexec，查看之間IP通訊
   
10. 點選info進到capME!，查到連接C2的動作紀錄!