Nous avons couvert des exemples d'analyse d'incidents de cybersécurité tels que le DNS anormal, les attaques de phishing et la vulnérabilité Log4j à l'aide de Zeek IDS. Nous avons utilisé Zeek IDS en mode d'analyse de paquets hors ligne alors qu'il peut toujours être utilisé en mode capturé en direct. Les exemples utilisés dans la vidéo font partie de Exercices TryHackMe Zeek salle qui fait partie de la piste SOC niveau 1.

Notes pratiques de Burp Suite

Le cours pratique complet sur les tests d’intrusion d’applications Web

Points forts

Zeek est un analyseur de trafic réseau passif et open source. De nombreux opérateurs utilisent Zeek comme moniteur de sécurité réseau (NSM) pour prendre en charge les enquêtes sur les activités suspectes ou malveillantes. Zeek prend également en charge un large éventail de tâches d'analyse du trafic au-delà du domaine de la sécurité, notamment la mesure des performances et le dépannage.

Exécutez Zeek en tant que service pour pouvoir effectuer une capture de paquets réseau en direct ou écouter le trafic réseau en direct.
Pour exécuter Zeek en tant que service, nous devrons démarrer le module « ZeekControl » qui nécessite des autorisations de superutilisateur pour être utilisé. Vous pouvez élever les privilèges de session et passer au compte superutilisateur pour examiner les fichiers journaux générés avec la commande suivante : sudo su

Réponses de la salle

Enquêter sur dns-tunneling.pcap déposer. Enquêter sur dns.log déposer. Quel est le nombre d’enregistrements DNS liés à l’adresse IPv6 ?

320

Enquêter sur conn.log déposer. Quelle est la durée de connexion la plus longue ?

9.420791

Un grand nombre de requêtes DNS sont envoyées au même domaine. C'est anormal. Découvrons quels hôtes sont impliqués dans cette activité. Enquêter sur conn.log déposer. Quelle est l'adresse IP de l'hôte source ?

10.20.57.3

Examinez les journaux. Quelle est l'adresse de la source suspecte ? Entrez votre réponse dans format défangé.

10[.]6[.]27[.]102

Enquêter sur http.log déposer. À partir de quelle adresse de domaine les fichiers malveillants ont-ils été téléchargés ? Entrez votre réponse au format défangé.

fax intelligent[.]com

Examinez le document malveillant dans VirusTotal. Quel type de fichier est associé au document malveillant ?

VBA

Enquêter sur les fichiers malveillants extraits .exe déposer. Quel est le nom du fichier donné dans Virustotal ?

PleaseWaitWindow.exe

Enquêter sur les malveillants .exe fichier dans VirusTotal. Quel est le nom de domaine contacté ? Entrez votre réponse dans format défangé.

hopto[.]org

Examinez le fichier http.log. Quel est le nom de la demande du logiciel malveillant téléchargé .exe déposer?

knr.exe

Examinez le fichier log4shell.pcapng avec le script détection-log4j.zeek. Examinez le fichier signature.log. Quel est le nombre de signatures ?

3

Enquêter sur http.log déposer. Quel outil est utilisé pour la numérisation ?

nmap

Enquêter sur http.log déposer. Quelle est l'extension du fichier d'exploit ?

.classe

Examinez le fichier log4j.log. Décodez les commandes base64. Quel est le nom du fichier créé ?

pwned

Vidéo pas à pas

, , , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles