iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 25
1
Security

學習網路安全監控的30天系列 第 26

NSM 26:加入洋蔥戰隊吧!RITA (Real Intelligence Threat Analytics)

這幾天介紹Security Onion洋蔥,稍微提到幾種不同的工具,有WireSHark、CapME、Bro、 Wazuh HIDS、Surricata、Snort、Sguil、Sqert、Kibana、CyberChef等等,簡直可以成立一支洋蔥戰隊了,當我們有這些豐富的工具收集資料、偵測、分析,能否進一步擴充功能,加強洋蔥戰隊進行網路安全監控的戰鬥力呢?

呼叫RITA

RITA是誰呢?RITA是Real Intelligence Threat Analytics的縮寫,它是另一個開源專案,能夠進一步處理分析Bro log,偵測beaconing、scanning或DNS Tunneling等等行為,目前由Active Countermeasures維護,雖然在Security Onion的Github頁面上說並不正式支援RITA,請自行小心安裝服用,安裝過程中也需要稍微多一些設定,不過整體上還是滿簡便的,因為Security Onion洋蔥已經有安裝Bro,所以我們不用另外再想辦法產出PCAP檔再由RITA讀進分析。

安裝程序也很簡單,首先我們到臨時安裝資料夾,然後下載安裝的script

cd /tmp
wget https://raw.githubusercontent.com/activecm/rita/master/install.sh

這時候的install.sh 還不能執行只是Read-only,要先改變參數,才能執行

chmod +x install.sh
sudo ./install.sh

安裝過程中會偵測到已經有Bro,會詢問一些設定上的問題,也會問那個是監控的網路介面,安裝好後記得開啟資料庫呼叫RITA:

sudo service mongod start

之後就可以用RITA幫助分析了,我們先用RITA讀取資料,因為Bro log的預設位置是/nsm/bro/logs/,所以我們用以下指令讀取第一個檔案dataset1

rita import /nsm/bro/logs dataset1

這裡遇到一個小問題,應該也是Secuirity Onion不正式(Officially)支援RITA的原因,在新版的Security Onion已經採用JSON格式Bro log,但是RITA目前只支援 TSV格式,所以要用以下指令轉換格式:﹝這也是為什麼試著讀取之前PCAP Replay後產生的Bro log卻遇上問題﹞

sudo sed -i 's|@load json-logs|#@load json-logs|g' /opt/bro/share/bro/site/local.bro

然後輸入sudo so-bro-restart重啟Bro接受新指令。

如果不想每次一直輸入途徑,可以改變設定檔/etc/rita/config.yaml,將其中的ImportDirectory數值改為/nsm/bro/logs。

再次用rita import讀取檔案後,接著再用rita analyze命令RITA進行分析。RITA有很多指令可以呈現分析的結果,針對我們感興趣的部分調查、查詢,可以輸入rita –help 來看看所有指令,下面介紹

我們可以看是否有DNS tunneling活動

rita show-exploded-dns dataset1

或者看看有沒有beaconing的網路活動

rita show-beacons dataset1

如果不想一直輸入指令,可以輸入rita html-report,請RITA產生一份HTML報告,在瀏覽器下慢慢查閱分析

想要更認識RITA的可參閱文末附上的連結。

RITA Gibhub Page
https://github.com/activecm/rita

Introducing ‘RITA’ for Real Intelligence Threat Analysis
https://www.darkreading.com/vulnerabilities---threats/introducing-rita-for-real-intelligence-threat-analysis/a/d-id/1323244


上一篇
NSM 25:洋蔥料理的Chef
下一篇
NSM 27:邊吃洋蔥邊讀威脅情資Critical Stack Intel
系列文
學習網路安全監控的30天30

1 則留言

0
彭偉鎧
iT邦新手 5 級 ‧ 2018-11-11 09:08:45

怎麼斷了兩天?

我要留言

立即登入留言