Cubrimos Brim, que es un analizador de registros y paquetes de código abierto. Brim tiene potentes funciones que lo hacen ideal para archivos de captura de paquetes grandes porque tiene una interfaz GUI combinada con un potente motor de búsqueda y sistema de consulta. También cubrimos dos escenarios prácticos en los que utilizamos Brim para investigar infecciones de malware y actividades de criptominería. Esto fue parte de Ruta TryHackMe Brim SOC Nivel 1.
Obtenga notas de estudio del equipo azul
El curso práctico completo del marco Metasploit
Descripción del desafío
Aprenda y practique la investigación de registros, el análisis de pcap y la búsqueda de amenazas con Brim.
Vídeos destacados
Brim es una aplicación de escritorio de código abierto que procesa archivos pcap y archivos de registro, con un enfoque principal en proporcionar búsquedas y análisis. Utiliza el Zeek formato de procesamiento de registros. También admite firmas Zeek y reglas Suricata para la detección.
Puede manejar dos tipos de datos como entrada;
- Archivos de captura de paquetes: archivos Pcap creados con aplicaciones similares a tcpdump, tshark y Wireshark.
- Archivos de registro: archivos de registro estructurados como Zeek registros.
Brim se basa en plataformas de código abierto:
- Zeek: Motor generador de registros.
- Idioma Zed: Lenguaje de consulta de registros que permite realizar búsquedas de palabras clave con filtros y canalizaciones.
- Formato de datos ZNG: Formato de almacenamiento de datos que admite el almacenamiento de flujos de datos.
- Electrón y reacción: Interfaz de usuario multiplataforma.
Consultas predeterminadas
Mencionamos que Brim tenía 12 consultas predefinidas en la tarea anterior. ¡Veámoslos en acción! Ahora, abra Brim, importe el pcap de muestra y siga el tutorial.
Revisar la actividad general
Esta consulta proporciona información general sobre el archivo pcap. La información proporcionada es valiosa para realizar más investigaciones y crear consultas personalizadas. Es imposible crear consultas avanzadas o específicas de un caso sin conocer los archivos de registro disponibles.
Actividad de red específica de Windows
Esta consulta se centra en la actividad de redes de Windows y detalla las direcciones de origen y destino y la detección de operaciones, puntos finales y canalizaciones con nombre. La información proporcionada ayuda a investigar y comprender eventos específicos de Windows como PYME enumeración, inicios de sesión y explotación de servicios.
Conexiones de red únicas y datos transferidos
Estas dos consultas proporcionan información sobre conexiones únicas y correlación de datos de conexión. La información proporcionada ayuda a los analistas a detectar conexiones extrañas y maliciosas y actividades sospechosas y de señalización. La lista uniq proporciona una lista clara de conexiones únicas que ayudan a identificar anomalías. La lista de datos resume la tasa de transferencia de datos que respalda la hipótesis de la investigación de anomalías.
Respuestas de la habitación
Mira los detalles del primero. NTP registro que aparece en el tablero. ¿Cuál es el valor de “duración”?
Mire los detalles del registro de paquetes de ESTADÍSTICAS que está visible en el panel. ¿Qué es el “reassem_tcp_size”?
Investigue el archivo de registro de conexión. ¿Cuál es el número de nombres de ciudades identificadas?
Investigan las alertas de Suricata. ¿Cuál es el ID de firma de la categoría de alerta "Posible violación de la privacidad corporativa"?
¿Cuál es la cantidad de conexiones CobaltStrike que utilizan el puerto 443?
Hay un adicional C2 canal en uso en el caso dado. ¿Cómo se llama el canal secundario C2?
¿Cuántas conexiones utilizaron el puerto 19999?
¿Cuál es el nombre del servicio utilizado por el puerto 6666?
¿Cuál es la cantidad total de bytes transferidos a “101.201.172.235:8888”?
¿Cuál es el detectado? INGLETE identificación de táctica?
Tutorial en vídeo