SIEMを使用したTorブラウザーの検出
QRadarを使用してTor Browserアクティビティーを識別するための可能な方法を探しています。ファイアウォールが統合されています&IPS(アプリケーション制御なし。そのため、可能なオプションではありません。)リンクをクリックしました https://www.dan.me.uk/tornodes しかし、リンクをQRadarと常に同期させることはできません。
QRadarに統合されたファイアウォールログを使用する環境でTor Browserアクティビティを検出するための推奨事項はありますか?ファイアウォールにアクセスできません。したがって、ファイアウォールを変更することはできません。 QRadarでしか変更できません。
Torはポート443、9001、9030を使用するため、URLのコンテンツを同期する方法はあります https://www.dan.me.uk/tornodes またはTorブラウザのアクティビティを検出するその他の方法ネットワークで。
ブロックしたくない。 QRadarを使用してのみ検出したい。
これまでに行ったことがあるが、見つけた最良の方法は、定期的にIPをTor出口ノードリストからプルするジョブを作成することでした。このリストを使用して、ルールセットをテストできます。
これらのスクリプト は、SIEMによってプルされるCSVファイルに変換するのに役立ちます。
有効期間が1時間強のIPアドレスのリファレンスセットを作成し、「Tor出口ノード」のように呼び出します。 cronとwgetを使用して、1時間ごとにTor出口ノードのリストをダウンロードします。おそらく、IPアドレスを整理して、1行に1つのIPアドレスを設定する必要があります。 /opt/qradar/bin/ReferenceSetUtil.sh load "Tor Exit Nodes"/path/to/file/with/tor/nodesのように、ファイルを1時間ごとにリファレンスセットにロードします。次に、宛先セットが参照セットで発生するかどうかをチェックするテストを使用して新しいルールを作成し、必要な応答を作成します。
トラフィックログをSIEMにフィードしている場合は、それを使用してTorノードのリストと比較できます。 (BRO IDSのようなもの)
しかし、torノードのリストはすべて変更/不完全になるため、おそらく他の方法で検出を検討する必要があります。これは、ネットワーク上で識別された動作ベースのtor ssl証明書、または他のホストベースのツールである可能性があります。
Torトラフィックの検出は、設計上難しい場合があります。トラフィックを検出するための特定の簡単な方法はないと思います。他の検出方法を組み合わせることが理想的です。
これで具体的な質問に答えることはできないと思いますが、torトラフィックを特定する場合は、他のオプションを検討する必要があります。
これを行う最も簡単な方法は、ネットワークデバイスとQRadarの間のパイプラインに、ある種のデータトランスフォーマーをスリップストリームすることです。 QRadar自体がこれをある程度サポートしているようです 、またはLogstashまたはその同類の何かを仲介として使用できます。
バッチ処理または問題の後でそれらを解決しようとする場合の問題は、レイテンシが発生することです。これは、組織がこれらのイベントへのリアルタイムの応答を要求している場合に機能しない場合があります。
各ログ行について、IPアドレスを解析し、既知のTorノードの現在のリストと相互参照して、データにブールフラグを追加します(is_tor:true | false)。
さらに一歩踏み出すことをお勧めします。Torについて懸念がある場合は、匿名プロキシについても懸念する必要があります。これらのリストを無料で見つけることは困難です。これらの最新のリストを提供し、それらに基づいてデータを充実させる商用サービス(Maxmindなど)にサブスクライブすることを強くお勧めします。