Abbiamo trattato Brim, un analizzatore di pacchetti e log open source. Brim ha potenti funzionalità che lo rendono ideale per l'acquisizione di pacchetti di file di grandi dimensioni poiché dispone di un'interfaccia GUI combinata con un potente motore di ricerca e un sistema di query. Abbiamo anche trattato due scenari pratici in cui abbiamo utilizzato Brim per indagare sull'infezione da malware e sull'attività di mining di criptovalute. Questo faceva parte Percorso TryHackMe Brim SOC Livello 1.
Ottieni appunti di studio del Blue Team
Il corso pratico completo sul framework Metasploit
Descrizione della sfida
Impara ed esercitati nell'investigazione dei log, nell'analisi pcap e nella caccia alle minacce con Brim.
Video in evidenza
Brim è un'applicazione desktop open source che elabora file pcap e file di registro, con l'obiettivo principale di fornire ricerca e analisi. Utilizza il Zeek formato di elaborazione del registro. Supporta anche le firme Zeek e le regole Suricata per il rilevamento.
Può gestire due tipi di dati come input;
- File di acquisizione pacchetti: file Pcap creati con applicazioni simili a tcpdump, tshark e Wireshark.
- File di registro: file di registro strutturati come Zeek registri.
Brim è costruito su piattaforme open source:
- Zeek: Motore di generazione dei log.
- Linguaggio Zed: Linguaggio di query dei registri che consente di eseguire ricerche di parole chiave con filtri e pipeline.
- Formato dati ZNG: Formato di archiviazione dati che supporta il salvataggio dei flussi di dati.
- Elettrone e reazione: Interfaccia utente multipiattaforma.
Query predefinite
Abbiamo menzionato che Brim aveva 12 query predefinite nell'attività precedente. Vediamoli in azione! Ora apri Brim, importa il pcap di esempio e segui la procedura dettagliata.
Revisione dell'attività complessiva
Questa query fornisce informazioni generali sul file pcap. Le informazioni fornite sono utili per eseguire ulteriori indagini e creare query personalizzate. È impossibile creare query avanzate o specifiche per il caso senza conoscere i file di registro disponibili.
Attività di rete specifica di Windows
Questa query si concentra sull'attività di rete di Windows e descrive in dettaglio gli indirizzi di origine e destinazione e il rilevamento di pipe denominate, endpoint e operazioni. Le informazioni fornite aiutano a indagare e comprendere eventi Windows specifici come PMI enumerazione, login e sfruttamento dei servizi.
Connessioni di rete uniche e dati trasferiti
Queste due query forniscono informazioni sulle connessioni univoche e sulla correlazione dei dati di connessione. Le informazioni fornite aiutano gli analisti a rilevare connessioni strane e dannose e attività sospette e di segnalazione. L'elenco uniq fornisce un elenco chiaro di connessioni univoche che aiutano a identificare le anomalie. L'elenco dei dati riepiloga la velocità di trasferimento dei dati che supporta l'ipotesi di indagine dell'anomalia.
Risposte in camera
Guarda i dettagli del primo NTP log che appaiono sulla dashboard. Qual è il valore della “durata”?
Guarda i dettagli del registro dei pacchetti STATS visibile sulla dashboard. Cos'è "reassem_tcp_size"?
Esaminare il file di registro di connessione. Qual è il numero dei nomi delle città identificate?
Indaga sugli allarmi Suricata. Qual è l'ID firma della categoria di avviso "Potenziale violazione della privacy aziendale"?
Qual è il numero di connessioni CobaltStrike che utilizzano la porta 443?
C'è un ulteriore C2 canale utilizzato nel caso specifico. Qual è il nome del canale C2 secondario?
Quante connessioni hanno utilizzato la porta 19999?
Qual è il nome del servizio utilizzato dalla porta 6666?
Qual è la quantità di byte totali trasferiti a "101.201.172.235:8888"?
Qual è il rilevato MITRA ID tattica?
Videoprocedura dettagliata