ネットワークフォレンジック-ツールボックスの内容
コンピューターフォレンジックの この質問 と同様に、インフラストラクチャおよびネットワークフォレンジック用のツールボックスにはどのツールがありますか。典型的な例の例は、インシデントの後またはインシデントの疑いのいずれかであなたが呼び出され、「私たちは危険にさらされたか?攻撃はまだ進行中ですか?」
組織にログがあると仮定します-どのログが最も価値がありますか?あなたは不可欠なツールとして何を持っていますか?
さて、最初の3つの質問については、オフィスのマシンで完全な試験を行います。幸運にも、ファイアウォールとフローコレクターの両方の形で、ネットワーク内のいくつかの場所で継続的なネットワーク監視を行うことができます。
- Argus からのフローレコード(ネットフローまたはJフローに類似)
- ファイアウォールログ(「近接」ホストとハードウェアファイアウォールの両方から)
- tcpdump(可能であればミラーリングされたポートからキャプチャされ、必要に応じてハブ/タップ)
- Perl/grep/awk
魔法の大部分は、長年に渡って私たちが開発したPerlスクリプトと、Argusに付属する分析/集計ツールの形で提供されます。
私が調べた妥協案の大部分は、違法な映画や音楽などを提供したり、サービス拒否攻撃を実行したりするために使用されています。どちらの場合も、フローレコードまたはファイアウォールから感染を追跡するのは簡単です。
このような場合に役立つツールをいくつか見つけました。
利用可能な場合、パケットキャプチャの分析
再び私のリストではありませんが、これは私のツールボックスです: http://www.forensicswiki.org/wiki/Tools:Network_Forensics
それに加えて、ワイヤレス検出のためのいくつかのもの(インサイダーなど)
私または私のチームが数回使用しなければならなかったいくつかのツールをポップアップすると思いました。サーバーが危険にさらされている(そして、あなたが コンピュータフォレンジックツールキット を手元に持っている)と仮定すると、次のようになります。
- Wireshark
- tcpdump
- ngrep
- grep/Perlスクリプト(Rubyの学習はゆっくりですが)
- netflows(Argusを見るとより良い賭けになると思います)
サーバーの初期評価によっては、電源を切るか、ネットワークから切断するか、調査ネットワークに落とす場合があります。力を引き出している場合は、サーバー周辺のインフラストラクチャとインターネットへのパスを確認します。ネットワーク内の妥協点と境界を介した通信を探します。 3番目のオプションでは、調査ネットワークからのライブログを監視したいと思います。いずれにせよ、私はネットワーク全体で妥協の兆候がないかチェックしたいと思います。
この時点でのSIEMツールは、企業全体で非常に効果的です。調査の進行に応じて更新できるため、さらなる妥協を制限できます。
しかし、努力の大部分は事実の後で行われます-そして、ログとの私の扱いのほとんどは、すべてgrepルートをたどっています。