問題タブ [bro]

次の形式のネットワーク トラフィックがあります。

Timestamp | Source | Destination | Protocol | Port | Payload | Payload Size

このトラフィックに既知の攻撃があるかどうかを判断しようとしています。このために、いくつかの侵入検知システムを検討していました。SnortとBroの両方が、さらにオフラインで分析するためにダンプを pcap ファイルにする必要があるようです。両方のシステムのドキュメントを詳細に調べましたが、所有しているデータを処理するオプションが見つかりませんでした。

この分析の実行方法に関する提案はありますか? 具体的には、次のいずれかを探しています。

• システムを直接使用してこのデータをプレーンテキストで分析する方法に関するいくつかの指針
• このデータを後でシステムで使用できる PCAP ファイルに変換するツール

最終年度のプロジェクトとして、ブロの dsniff バージョンを実装する必要があります。そこで、Bro によって実装されたプロトコル イベントを使用する Bro スクリプトを作成することから始めました。問題は、Bro がすべてのプロトコルのイベントを実装していないことです。LDAP は、BRO にイベントがないことに悩まされているプロトコルの 1 つです。だから私はこれを達成するための最良の方法は何だろうと思っていました。つまり、これらのプロトコルのディセクタとイベントを追加する必要がありますか、それとも見逃した機能を使用する必要がありますか? (ブロ初心者です)

ご助力ありがとうございます。

Bro が提供するすべてのストリームをログに記録したいと思います。1 つのストリームに対して次のことを行いましたが、必要な回答が得られません。

これについて何か助けを得ることができますか?

broセキュリティの遅れや攻撃などを検出するために、ログの複雑なイベント処理を実行するプロジェクトがあります。最初の調査を行ったところ、bro がさまざまなログ ファイルを生成しWSO2 CEP、それらのファイルを取得Siddhiしてイベント処理用のクエリを作成できることがわかりました。WSO2 CEP のイベント レシーバーとしてxml、jsonまたはtextメッセージ形式として、ブロ ログ ファイルの形式を変更する必要がありますか、それともそのまま使用できますか? 標準のログ ファイルをイベント レシーバーとして使用する WSO2CEP のサンプルを見つけられなかったのでしょうか。

私の目標は、次のようなコマンドを実行しbro --iface <interface>て conn.log のみを取得することですが、Bro のドキュメントやマンページからその方法を知ることはできません。

ありがとう。

ここでの初心者の質問: 新しい Ubuntu に Bro をインストールしました。私は仲間を実行し、そのUbuntuからhttpリクエストを作成します。仲間は私が得た応答をログに記録しますが、送信要求のログは表示されません。そのUbunuにインストールされているApacheサーバーにhttpリクエストを送信すると、リクエストの到着ログが表示されます。正しい NIC を監視しています。Wireshark は発信トラフィックを認識します。ログを取得するにはどうすればよいですか

Bro 2.4.1 (bro.org から tar.gz をダウンロード) Ubuntu 14.04 プロキシを使用。

ありがとう