Приветствую,
уважаемый читатель!
Во
время расследования инцидентов безопасности могут понадобиться всевозможные
инструменты для анализа исходных данных. В качестве исходных данных могут быть дампы
трафика, записанные с какого-либо сетевого хоста. Один из инструментов для
анализа дампов – сервис www.packettotal.com.
Для
эксперимента я записал небольшой дамп следующих протоколов: 22/tcp (ssh), 80/tcp (http), 443/tcp (https), 8000/tcp (http splunk). У рассматриваемого
сервиса нет особых ограничений по загрузке дампов за исключением следующих:
максимальный размер 50MB,
форматы pcap,
pcapng. Для анализа дампа
необходимо загрузить файл, ввести капчу и нажать на кнопку «Analyze».
После загрузки и анализа дампа вы попадете в интерфейс
«Console», в котором приведена сводная
статистика по загруженному дампу.
Как видно из
скриншотов, данный сервис умеет определять, какие прикладные протоколы используются
для установки соединения и присваивать им уникальный идентификатор (Connection ID).
Для наиболее популярных
прикладных протоколов, таких как HTTP, предусмотрены отдельные вклады с более
расширенной информацией.
Сервис умеет получать информацию
об используемых в рамках соединений TLS-сертификатах, что тоже может оказаться
весь полезным.
Отдельно
стоит отметить вкладку «Suspicious
Activity», в котором отражена подозрительная активность. В данном
примере, например, сервис показал, что в одном из соединений используется не валидный
сертификат (это сертификат для домена splunkbas.ru,
который является самоподписанным).
Помимо
интерфейса «Console» существует ещё
несколько интерфейсов, а именно: «Timeline» и «Analystics». Для
переключения между ними можно использовать кнопки в правой верхней части
страницы.
В интерфейсе «Timeline» в
хронологическом порядке выстроена последовательность соединений из загруженного
дампа. Данная возможность может оказаться весьма не лишней при анализе. Правда, по мере роста количества соединений, временной график может оказаться не информативным.
Интерфейс
«Analystics» является
своего рода разделом дашбордов, в котором представлена различная визуализация
данных по соединениям и прикладным протоколам. Ничего сверхъестественного не
увидел, но раздел достаточно неплохой и данные из него могут быть
использованы в отчётах.
Собственно, всем
удачного использования)
Комментариев нет:
Отправить комментарий