لقد قمنا بتغطية Brim وهو عبارة عن حزمة مفتوحة المصدر ومحلل للسجلات. يتمتع Brim بميزات قوية تجعله مثاليًا لملفات التقاط الحزم الكبيرة لأنه يحتوي على واجهة GUI مدمجة مع محرك بحث قوي ونظام استعلام. قمنا أيضًا بتغطية سيناريوهين عمليين حيث استخدمنا Brim للتحقيق في الإصابة بالبرامج الضارة ونشاط تعدين العملات المشفرة. كان هذا جزءًا من مسار TryHackMe Brim SOC من المستوى الأول.
احصل على ملاحظات دراسة الفريق الأزرق
الدورة التدريبية العملية الكاملة لإداة Metasploit
وصف التحدي
تعلم ومارس التحقيق في السجل، وتحليل pcap، وصيد التهديدات باستخدام Brim.
أبرز مقاطع الفيديو
Brim هو تطبيق سطح مكتب مفتوح المصدر يعالج ملفات pcap وملفات السجلات، مع التركيز بشكل أساسي على توفير البحث والتحليلات. يستخدم زيك تنسيق معالجة السجل. كما أنه يدعم توقيعات Zeek وقواعد Suricata للكشف.
يمكنه التعامل مع نوعين من البيانات كمدخل؛
- ملفات التقاط الحزم: ملفات Pcap التي تم إنشاؤها باستخدام التطبيقات المشابهة لـ tcpdump وtshark وWireshark.
- ملفات السجل: ملفات السجل المنظمة مثل زيك السجلات.
تم بناء Brim على منصات مفتوحة المصدر:
- زيك: محرك توليد السجل.
- لغة زيد: لغة الاستعلام عن السجل التي تسمح بإجراء عمليات بحث عن الكلمات الرئيسية باستخدام المرشحات وخطوط الأنابيب.
- تنسيق بيانات ZNG: تنسيق تخزين البيانات الذي يدعم حفظ تدفقات البيانات.
- الإلكترون والتفاعل: واجهة مستخدم عبر الأنظمة الأساسية.
الاستعلامات الافتراضية
لقد ذكرنا أن Brim كان لديه 12 استعلامًا تم إعداده مسبقًا في المهمة السابقة. دعونا نراهم في العمل! الآن، افتح Brim، وقم باستيراد نموذج pcap وتصفح الإرشادات التفصيلية.
مراجعة النشاط العام
يوفر هذا الاستعلام معلومات عامة عن ملف pcap. تعتبر المعلومات المقدمة ذات قيمة لإنجاز المزيد من التحقيق وإنشاء استعلامات مخصصة. من المستحيل إنشاء استعلامات متقدمة أو خاصة بحالة معينة دون معرفة ملفات السجل المتوفرة.
نشاط الشبكات المحدد لنظام التشغيل Windows
يركز هذا الاستعلام على نشاط شبكة Windows ويوضح تفاصيل عناوين المصدر والوجهة والتوجيه المسمى ونقطة النهاية واكتشاف العملية. تساعد المعلومات المقدمة في التحقيق في أحداث Windows المحددة وفهمها مثل الشركات الصغيرة والمتوسطة التعداد وتسجيلات الدخول واستغلال الخدمة.
اتصالات الشبكة الفريدة والبيانات المنقولة
يوفر هذان الاستعلامان معلومات حول الاتصالات الفريدة وارتباط بيانات الاتصال. تساعد المعلومات المقدمة المحللين على اكتشاف الاتصالات الغريبة والخبيثة والأنشطة المشبوهة والإشاراتية. توفر قائمة UNIQ قائمة واضحة بالاتصالات الفريدة التي تساعد في تحديد الحالات الشاذة. تلخص قائمة البيانات معدل نقل البيانات الذي يدعم فرضية التحقيق في الشذوذ.
إجابات الغرفة
التحقيق في ملف السجل conn. ما هو عدد أسماء المدن التي تم تحديدها؟
التحقيق في تنبيهات Suricata. ما هو معرف التوقيع الخاص بفئة التنبيه "انتهاك محتمل لخصوصية الشركة"؟
ما هو عدد اتصالات CobaltStrike باستخدام المنفذ 443؟
هناك اضافية ج2 القناة المستخدمة في الحالة المحددة. ما هو اسم القناة الثانوية C2؟
كم عدد الاتصالات المستخدمة المنفذ 19999؟
ما اسم الخدمة التي يستخدمها المنفذ 6666؟
ما هو مقدار إجمالي البايتات المنقولة إلى "101.201.172.235:8888"؟
ما هو المكتشف ميتري معرف التكتيك؟
تجول الفيديو