介绍
安全团队在试图检测和应对可疑和恶意活动时,通常依赖于四种数据源。这些数据包括:
- 第三方来源,如执法部门、同行和商业或非营利性威胁情报组织。
- 网络数据。
- 基础设施和应用数据,包括来自云环境的日志。
- 端点数据。
Zeek主要是一个收集和分析第二种形式的数据--网络数据的平台。
在研究来自网络的数据时,有四种类型的数据可供分析人员使用。按照网络安全监控范式的定义,这四种数据类型是::
- 全部内容。
- 交易数据。
- 提取的内容。
- 警报数据。
利用这些数据类型,人们可以分别记录流量、总结流量、提取流量(或者也许更准确地说,以文件形式提取内容)和判断流量。
NIST 800-53与网络安全有关的控制措施
关于Zeek
Zeek是一个无源的、开源的网络流量分析器。许多运营商将Zeek作为网络安全监控器(NSM),支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的广泛的流量分析任务,包括性能测量和故障排除。
新用户从Zeek获得的第一个好处是描述网络活动的大量日志。这些日志不仅包括在网上看到的每个连接的全面记录,而且还包括应用层的记录。这些包括:
- 所有的HTTP会话及其请求的URI、关键头信息、MIME类型和服务器响应。
- DNS请求与回复。
- SSL证书。
- SMTP会话的关键内容。
- 以及更多。
Zeek传感器的部署
Zeek传感器通常使用核心交换机中的网络抽头进行部署。交换机中的一个专用网络端口将镜像一个或多个上行链路,并将所有镜像的流量发送到Zeek传感器。
传感器需要第二个网络接口来连接到企业网络并转发所收集的事件。
在很高的水平上,Zeek在结构上分层为两个主要部分。它的事件引擎(或核心)将传入的数据包流还原成一系列更高级别的事件。这些事件以政策中立的方式反映网络活动,也就是说,它们描述了已经看到的东西,但不是为什么,也不是它是否重要。
与事件有关的语义是由Zeek的第二个主要组件--脚本解释器得出的,它执行一组用Zeek的定制脚本语言编写的事件处理程序。这些脚本可以表达网站的安全策略,例如当监控器检测到不同类型的活动时,应采取什么行动。
Zeek传感器 - 尺寸设计(准则)
Zeek日志和SOCFortress的威胁情报
收集到的事件可以用Zeek中包含的本地情报框架进行分析。Zeek的情报框架的目标是消耗情报数据,使其可用于匹配,并提供基础设施以提高性能和内存利用率。
情报框架中的数据是一个情报的原子片断,如IP地址或电子邮件地址。这个原子数据将被包装成元数据,比如一个自由格式的来源字段,一个自由格式的描述字段,以及一个可能导致关于具体项目的更多信息的URL。默认脚本中的元数据已经被刻意保持在最低限度。
SOCFortress纳入威胁情报分析的方式是利用我们现有的威胁情报API。Zeek记录的元数据将由我们的威胁情报模块进行分析,包括:
- 公共来源和目的地的IP地址。
- DNS查询。
- 文件散列值(SHA256)。
可视化和流量分析
所有网络连接
网络地图
文件和文件哈希值
SSL证书
检测到的软件