Nous avons couvert Brim, un analyseur de paquets et de journaux open source. Brim possède des fonctionnalités puissantes qui le rendent idéal pour les fichiers de capture de paquets volumineux, car il possède une interface graphique combinée à un puissant moteur de recherche et un système de requête. Nous avons également couvert deux scénarios pratiques dans lesquels nous avons utilisé Brim pour enquêter sur les infections par des logiciels malveillants et les activités de crypto mining. Cela faisait partie de Parcours TryHackMe Brim SOC niveau 1.
Obtenez les notes d'étude de l'équipe bleue
Le cours pratique complet sur le framework Metasploit
Description du défi
Apprenez et pratiquez l’investigation des journaux, l’analyse pcap et la chasse aux menaces avec Brim.
Faits saillants de la vidéo
Brim est une application de bureau open source qui traite les fichiers pcap et les fichiers journaux, en mettant l'accent principalement sur la recherche et l'analyse. Il utilise le Zeek format de traitement des journaux. Il prend également en charge les signatures Zeek et les règles Suricata pour la détection.
Il peut gérer deux types de données en entrée ;
- Fichiers de capture de paquets : fichiers Pcap créés avec des applications de type tcpdump, tshark et Wireshark.
- Fichiers journaux : fichiers journaux structurés comme Zeek journaux.
Brim est construit sur des plateformes open source :
- Zeek: Moteur de génération de journaux.
- Langue Zed : Langage d'interrogation de journaux qui permet d'effectuer des recherches par mots clés avec des filtres et des pipelines.
- Format de données ZNG : Format de stockage de données prenant en charge la sauvegarde des flux de données.
- Électron et réaction : Interface utilisateur multiplateforme.
Requêtes par défaut
Nous avons mentionné que Brim avait 12 requêtes prédéfinies dans la tâche précédente. Voyons-les en action ! Maintenant, ouvrez Brim, importez l’exemple de pcap et suivez la procédure pas à pas.
Examen de l'activité globale
Cette requête fournit des informations générales sur le fichier pcap. Les informations fournies sont précieuses pour approfondir les recherches et créer des requêtes personnalisées. Il est impossible de créer des requêtes avancées ou spécifiques à un cas sans connaître les fichiers journaux disponibles.
Activité réseau spécifique à Windows
Cette requête se concentre sur l’activité réseau Windows et détaille les adresses source et de destination ainsi que la détection des canaux nommés, des points de terminaison et des opérations. Les informations fournies permettent d'étudier et de comprendre des événements Windows spécifiques tels que PME énumération, connexions et exploitation des services.
Connexions réseau uniques et données transférées
Ces deux requêtes fournissent des informations sur les connexions uniques et la corrélation connexion-données. Les informations fournies aident les analystes à détecter les connexions étranges et malveillantes ainsi que les activités suspectes et de balisage. La liste uniq fournit une liste claire de connexions uniques qui aident à identifier les anomalies. La liste de données résume le taux de transfert de données qui prend en charge l'hypothèse d'investigation des anomalies.
Réponses de la salle
Regardez les détails du premier NTP journal qui apparaissent sur le tableau de bord. Quelle est la valeur de la « durée » ?
Regardez les détails du journal des paquets STATS visible sur le tableau de bord. Qu'est-ce que « reassem_tcp_size » ?
Examinez le fichier journal de connexion. Quel est le numéro des noms de villes identifiés ?
Enquêtez sur les alertes Suricata. Quel est l'identifiant de signature de la catégorie d'alerte « Violation potentielle de la vie privée de l'entreprise » ?
Quel est le nombre de connexions CobaltStrike utilisant le port 443 ?
Il y a un supplément C2 canal utilisé dans le cas donné. Quel est le nom de la chaîne secondaire C2 ?
Combien de connexions ont utilisé le port 19999 ?
Quel est le nom du service utilisé par le port 6666 ?
Quel est le nombre total d'octets transférés vers « 101.201.172.235:8888 » ?
Quel est le détecté MITRE identifiant tactique ?
Vidéo pas à pas