iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 25
2

昨天介紹洋蔥料理Sguil,查詢警示與session資料,雖然可以做為即時警示資料版,將警示資料歸類,但是Security Onion是否有更為便利的圖形介面方便分析呢?我們看Security Onion的桌面:

https://ithelp.ithome.com.tw/upload/images/20181109/20084806gzaWkV1D0H.png

Squert

Squert 便是以瀏覽器存取Sguil資料庫內資料的方式,增加視覺化功能,可以直接點選桌面圖示Squert,或是點選README主頁,點選主頁連結開啟,或者直接在瀏覽器輸入

https: //localhost/squert/

localhost 這裡要輸入Security Onion的IP位址。開啟後我們看到Squert以視覺化呈現數種資料。

Kibana

另一個 視覺化的圖形介面是Kibana,同樣可以直接點選桌面圖示Kibana,或是點選README主頁,點選主頁連結開啟,或者直接在瀏覽器輸入

https: //localhost/app/kibana

注意在面版裡,左邊也有選項開啟Squert,無縫整合兩個面版,方便分析。Kibana有豐富的視覺化界面,方便查詢搜索,在Dashboard裡可以憑Protocol協定查詢,例如查看所有DNS相關資料,所有SNMP相關資料等等;在Visualize選項裡面有很多不同的內建樣本,協助我們呈現資料;Discover讓我們輸入查詢字串,利用Logstash的強大檢索能力查詢資料;Timelion則是讓我們以時間軸檢視資料,可以進行behavior-based 分析,建立基準baseline,藉由觀察特定時間點或整體流量發現異常流量和行為,例如深夜原本應該平靜無事的網路卻出現異常DNS流量,便需要進一步分析調查。

CyberChef

今年 (2018)2月,Security Onion工具寶箱裡多了新成員:CyberChef。 ﹝資安廚師?﹞CyberChef 號稱「Cyber Swiss Army Knife」,多功能的資安瑞士刀可以迅速轉換格式、內容、加密解密、解壓縮、解析IPv6地址、解碼Base64字元串等等,轉換不同格式的數據操作,幫助分析。我們可以從主頁中的連結點選CyberChef,或是直接在瀏覽器輸入:

https: //localhost/cyberchef/cyberchef.htm

CyberChef介面右上方為Input欄位,右下方為Output欄位,便是讓我們輸入資料和呈現結果;左側是想要選擇的操作方式,叫做Recipe食譜,看我們這個資安廚師想怎麼料理眼前的資料;中間是選擇用什麼參數和選項方式來處理數據,如下圖所示,我們選擇操作Format MAC Address,改變MAC位址格式,
https://ithelp.ithome.com.tw/upload/images/20181109/20084806904i3XNcvY.png

在右上欄位輸入MAC位址14-2A-E3-09-6C-5F,選擇Recipe食譜 為「Format MAC address」,選好參數,右下欄位便會產生結果,照我們選擇的參數列出不同格式的MAC位址。

其他還有好多好多不同的Recipe食譜,例如轉換資料To Base64、轉換URL資料去除%符號、將資料用MD5進行Hashing等等,功能非常多,可以慢慢玩,文末附上我找到的一個簡短的示範影片Cooking with CyberChef,想要試玩卻沒有安裝Security Onion,也可以點選文末的連結CyberChef Live Demo測試廚藝。

CyberChef Live Demo
https://gchq.github.io/CyberChef/

Cooking with CyberChef
https://youtu.be/eqbTQpGSR7g


上一篇
NSM 24 :洋蔥料理之一Sguil
下一篇
NSM 26:加入洋蔥戰隊吧!RITA (Real Intelligence Threat Analytics)
系列文
學習網路安全監控的30天30

尚未有邦友留言

立即登入留言