قمنا بتغطية أمثلة لتحليل حوادث الأمن السيبراني مثل DNS الشاذ وهجمات التصيد والثغرة الأمنية Log4j باستخدام Zeek IDS. استخدمنا Zeek IDS في وضع تحليل الحزم دون اتصال بينما لا يزال من الممكن استخدامه في وضع الالتقاط المباشر. الأمثلة المستخدمة في الفيديو هي جزء من تمارين TryHackMe Zeek الغرفة التي تعد جزءًا من مسار SOC من المستوى الأول.
الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب
يسلط الضوء
Zeek هو محلل سلبي لحركة مرور الشبكة مفتوح المصدر. يستخدم العديد من المشغلين Zeek كجهاز مراقبة أمان الشبكة (NSM) لدعم التحقيقات في الأنشطة المشبوهة أو الضارة. يدعم Zeek أيضًا مجموعة واسعة من مهام تحليل حركة المرور خارج نطاق الأمان، بما في ذلك قياس الأداء واستكشاف الأخطاء وإصلاحها.
قم بتشغيل Zeek كخدمة لتتمكن من التقاط حزم الشبكة المباشرة أو الاستماع إلى حركة مرور الشبكة المباشرة.
لتشغيل Zeek كخدمة، سنحتاج إلى تشغيل وحدة "ZeekControl" التي تتطلب أذونات المستخدم المتميز لاستخدامها. يمكنك رفع امتيازات الجلسة والانتقال إلى حساب المستخدم المتميز لفحص ملفات السجل التي تم إنشاؤها باستخدام الأمر التالي: سودو سو
إجابات الغرفة
التحقيق في DNS-tunelling.pcap ملف. التحقيق في سجل DNS ملف. ما هو عدد سجلات DNS المرتبطة بعنوان IPv6؟
320
التحقيق في conn.log ملف. ما هي أطول مدة اتصال؟
9.420791
هناك كمية هائلة من استعلامات DNS المرسلة إلى نفس المجال. هذا غير طبيعي. دعنا نتعرف على المضيفين المشاركين في هذا النشاط. التحقيق في conn.log ملف. ما هو عنوان IP للمضيف المصدر؟
10.20.57.3
التحقيق في السجلات. ما هو عنوان المصدر المشبوه؟ أدخل إجابتك في تنسيق مشوه.
10[.]6[.]27[.]102
التحقيق في http.log ملف. ما عنوان المجال الذي تم تنزيل الملفات الضارة منه؟ أدخل إجابتك بتنسيق defanged.
الفاكس الذكي[.]كوم
تحقق من المستند الضار في VirusTotal. ما نوع الملف المرتبط بالمستند الضار؟
فبا
التحقيق في الخبيثة المستخرجة .إملف تنفيذى ملف. ما هو اسم الملف المحدد في Virustotal؟
من فضلكWaitWindow.exe
التحقيق في الخبيثة .إملف تنفيذى الملف في برنامج VirusTotal ما هو اسم المجال الذي تم الاتصال به؟ أدخل إجابتك في تنسيق مشوه.
hopto[.]org
التحقيق في ملف http.log. ما هو اسم الطلب للبرامج الضارة التي تم تنزيلها .إملف تنفيذى ملف؟
knr.exe
تحقق من ملف log4shell.pcapng باستخدام البرنامج النصي Detection-log4j.zeek. التحقيق في ملف التوقيع.سجل. ما هو عدد مرات التوقيع؟
3
التحقيق في http.log ملف. ما هي الأداة المستخدمة للمسح؟
nmap
التحقيق في http.log ملف. ما هو امتداد ملف الاستغلال؟
.فصل
التحقيق في ملف السجل log4j.log. فك تشفير أوامر Base64. ما هو اسم الملف الذي تم إنشاؤه؟
com.pwned
تجول الفيديو