這幾天介紹Security Onion洋蔥，稍微提到幾種不同的工具，有WireSHark、CapME、Bro、 Wazuh HIDS、Surricata、Snort、Sguil、Sqert、Kibana、CyberChef等等，簡直可以成立一支洋蔥戰隊了，當我們有這些豐富的工具收集資料、偵測、分析，能否進一步擴充功能，加強洋蔥戰隊進行網路安全監控的戰鬥力呢？

呼叫RITA！

RITA是誰呢？RITA是Real Intelligence Threat Analytics的縮寫，它是另一個開源專案，能夠進一步處理分析Bro log，偵測beaconing、scanning或DNS Tunneling等等行為，目前由Active Countermeasures維護，雖然在Security Onion的Github頁面上說並不正式支援RITA，請自行小心安裝服用，安裝過程中也需要稍微多一些設定，不過整體上還是滿簡便的，因為Security Onion洋蔥已經有安裝Bro，所以我們不用另外再想辦法產出PCAP檔再由RITA讀進分析。

安裝程序也很簡單，首先我們到臨時安裝資料夾，然後下載安裝的script

cd /tmp
wget https://raw.githubusercontent.com/activecm/rita/master/install.sh

這時候的install.sh 還不能執行只是Read-only，要先改變參數，才能執行

chmod +x install.sh
sudo ./install.sh

安裝過程中會偵測到已經有Bro，會詢問一些設定上的問題，也會問那個是監控的網路介面，安裝好後記得開啟資料庫呼叫RITA：

sudo service mongod start

之後就可以用RITA幫助分析了，我們先用RITA讀取資料，因為Bro log的預設位置是/nsm/bro/logs/，所以我們用以下指令讀取第一個檔案dataset1

rita import /nsm/bro/logs dataset1

這裡遇到一個小問題，應該也是Secuirity Onion不正式(Officially)支援RITA的原因，在新版的Security Onion已經採用JSON格式Bro log，但是RITA目前只支援 TSV格式，所以要用以下指令轉換格式：﹝這也是為什麼試著讀取之前PCAP Replay後產生的Bro log卻遇上問題﹞

sudo sed -i 's|@load json-logs|#@load json-logs|g' /opt/bro/share/bro/site/local.bro

然後輸入sudo so-bro-restart重啟Bro接受新指令。

如果不想每次一直輸入途徑，可以改變設定檔/etc/rita/config.yaml，將其中的ImportDirectory數值改為/nsm/bro/logs。

再次用rita import讀取檔案後，接著再用rita analyze命令RITA進行分析。RITA有很多指令可以呈現分析的結果，針對我們感興趣的部分調查、查詢，可以輸入rita –help 來看看所有指令，下面介紹

我們可以看是否有DNS tunneling活動

rita show-exploded-dns dataset1

或者看看有沒有beaconing的網路活動

rita show-beacons dataset1

如果不想一直輸入指令，可以輸入rita html-report，請RITA產生一份HTML報告，在瀏覽器下慢慢查閱分析

想要更認識RITA的可參閱文末附上的連結。

RITA Gibhub Page
https://github.com/activecm/rita

Introducing ‘RITA’ for Real Intelligence Threat Analysis
https://www.darkreading.com/vulnerabilities---threats/introducing-rita-for-real-intelligence-threat-analysis/a/d-id/1323244