Nous avons couvert des exemples d'analyse d'incidents de cybersécurité tels que le DNS anormal, les attaques de phishing et la vulnérabilité Log4j à l'aide de Zeek IDS. Nous avons utilisé Zeek IDS en mode d'analyse de paquets hors ligne alors qu'il peut toujours être utilisé en mode capturé en direct. Les exemples utilisés dans la vidéo font partie de Exercices TryHackMe Zeek salle qui fait partie de la piste SOC niveau 1.
Le cours pratique complet sur les tests d’intrusion d’applications Web
Points forts
Zeek est un analyseur de trafic réseau passif et open source. De nombreux opérateurs utilisent Zeek comme moniteur de sécurité réseau (NSM) pour prendre en charge les enquêtes sur les activités suspectes ou malveillantes. Zeek prend également en charge un large éventail de tâches d'analyse du trafic au-delà du domaine de la sécurité, notamment la mesure des performances et le dépannage.
Exécutez Zeek en tant que service pour pouvoir effectuer une capture de paquets réseau en direct ou écouter le trafic réseau en direct.
Pour exécuter Zeek en tant que service, nous devrons démarrer le module « ZeekControl » qui nécessite des autorisations de superutilisateur pour être utilisé. Vous pouvez élever les privilèges de session et passer au compte superutilisateur pour examiner les fichiers journaux générés avec la commande suivante : sudo su
Réponses de la salle
Enquêter sur dns-tunneling.pcap déposer. Enquêter sur dns.log déposer. Quel est le nombre d’enregistrements DNS liés à l’adresse IPv6 ?
320
Enquêter sur conn.log déposer. Quelle est la durée de connexion la plus longue ?
9.420791
Un grand nombre de requêtes DNS sont envoyées au même domaine. C'est anormal. Découvrons quels hôtes sont impliqués dans cette activité. Enquêter sur conn.log déposer. Quelle est l'adresse IP de l'hôte source ?
10.20.57.3
Examinez les journaux. Quelle est l'adresse de la source suspecte ? Entrez votre réponse dans format défangé.
10[.]6[.]27[.]102
Enquêter sur http.log déposer. À partir de quelle adresse de domaine les fichiers malveillants ont-ils été téléchargés ? Entrez votre réponse au format défangé.
fax intelligent[.]com
Examinez le document malveillant dans VirusTotal. Quel type de fichier est associé au document malveillant ?
VBA
Enquêter sur les fichiers malveillants extraits .exe déposer. Quel est le nom du fichier donné dans Virustotal ?
PleaseWaitWindow.exe
Enquêter sur les malveillants .exe fichier dans VirusTotal. Quel est le nom de domaine contacté ? Entrez votre réponse dans format défangé.
hopto[.]org
Examinez le fichier http.log. Quel est le nom de la demande du logiciel malveillant téléchargé .exe déposer?
knr.exe
Examinez le fichier log4shell.pcapng avec le script détection-log4j.zeek. Examinez le fichier signature.log. Quel est le nombre de signatures ?
3
Enquêter sur http.log déposer. Quel outil est utilisé pour la numérisation ?
nmap
Enquêter sur http.log déposer. Quelle est l'extension du fichier d'exploit ?
.classe
Examinez le fichier log4j.log. Décodez les commandes base64. Quel est le nom du fichier créé ?
pwned
Vidéo pas à pas