Описание тега bro
Бро - бывшее имя Зика. Zeek - это платформа сетевого анализа, реализованная как язык программирования для конкретной предметной области, позволяющая пользователям создавать мощные возможности мониторинга сетевой безопасности (NSM), а также предоставлять комплексную платформу для общего анализа сетевого трафика.
1
ответ
Bro-cut и conn.log - как получить доступ к отдельным столбцам?
Как получить доступ к именам столбцов в Bro conn.log, чтобы вы могли видеть, как называются поля?
15 дек '17 в 08:16
1
ответ
Bro 2.4.1 генерирует уведомление по электронной почте для атаки SSH Bruteforce
У меня возникают проблемы при создании уведомления по электронной почте, когда кто-то пытается выполнить ssh bruteforce-атаку на мой сервер с Bro (v2.4.1). У меня есть такой скрипт Bro, который переопределяет максимальное количество попыток входа в …
11 ноя '16 в 14:18
0
ответов
Открытие файла с двоеточиями в имени файла в Java (отображается как косая черта в MacOs Finder)
Эта проблема для Linux/Mac; Я даже не думаю, что файлы могли бы существовать с косой чертой, если бы они были разархивированы на коробку Windows. Привет, у меня есть требование открыть файлы журнала, которые были выведены популярной системой BRO IDS…
27 янв '17 в 17:49
2
ответа
Как отслеживать видео и https-трафик с помощью монитора безопасности сети bro
Я настроил братан в моей системе успешно. ОС - это centos 7. Мне нужно отслеживать мультимедийный трафик, например, youtube и какой-нибудь социальный сайт, например, Facebook. Я начал работать с браузером несколько минут, используя facebook и youtub…
09 май '16 в 12:42
0
ответов
Как обнаружить соединение передачи данных ftp на кластере брат?
Я использую bro в конфигурации кластера с двумя рабочими и плагином af_packet. Соединение ftp-data в половине случаев находится на другом узле, чем основное соединение ftp, из-за алгоритма хэширования потока af_packet и неправильно определяется. Как…
06 июн '18 в 19:05
1
ответ
Братан: Журнал только один поток
Моя цель - запустить команду вроде bro --iface <interface> и получить только conn.log, но я не могу сказать из документации Bro или man-страниц, как это сделать. Благодарю.
25 апр '16 в 23:53
1
ответ
Bro - broctl статус Peers 0 (?)
Может ли кто-нибудь помочь мне понять значение Peers (0) под статусом broctl? root@raspberrypi:~# broctl status Getting process status ... Getting peer status ... Name Type Host Status Pid Peers Started bro standalone localhost running 6695 0 23 Sep…
23 сен '16 в 15:49
1
ответ
События для Ldap в Bro IDS
Я должен реализовать dsniff-версию для bro как мой последний проект года. Итак, я начал с написания скриптов bro, в которых я использую события протокола, которые были реализованы Bro. Дело в том, что Bro не реализовывал события для всех протоколов,…
18 окт '15 в 08:46
2
ответа
Как написать сниффер слоя http
Я хочу написать сниффер уровня приложения (SMTP/ftp/http). Исходя из моих поисков, первый (и, возможно, самый сложный!) Шаг - это собрать tcp-поток перехваченных соединений. На самом деле, мне нужно что-то вроде опции "следовать TCP-потоку" в Wiresh…
05 янв '14 в 12:53
0
ответов
BRO не регистрирует ssh, когда пользователь найден PAM
Выход Hydra с использованием hydra -L ~/Documents/wordlists/Aliases.txt -P ~/Documents/wordlists/shortlist.txt -M servers.txt ssh -t 4 -V sharp67 пользователь в PAM и aaron1 не является. [ATTEMPT] target 172.xx.x.12 - login "sharp67" - pass "aaaaaaa…
31 июл '18 в 19:22
1
ответ
Скрипт Bro работает в командной строке, но не в главном
Я могу сравнивать файлы с разделителями табуляции из командной строки, например: bro -i eth1 malware_test_ips.bro Но всякий раз, когда я устанавливаю один и тот же скрипт в область сайта, сравнение не производится!! На самом деле кажется, что он не …
14 дек '16 в 17:44
2
ответа
Как анализировать захваченный сетевой трафик?
У меня есть сетевой трафик в следующем формате: Timestamp | Source | Destination | Protocol | Port | Payload | Payload Size Я пытаюсь определить, есть ли какие-либо известные атаки в этом трафике. Для этого я искал некоторые системы обнаружения втор…
23 янв '14 в 18:09
1
ответ
Как перехватить метаданные для трафика https с помощью Bro
У меня есть некоторые данные, используя следующую команду tcpdum. tcpdump -i eth1 -w eth1_data.pcap -X После этого я выполнил следующую команду для анализа eth1_data.pcap использование файла Bro, bro -r eth1_data.pcap local "Site::local_nets += { 10…
28 фев '17 в 12:47
0
ответов
Bro IDS Ошибка файла подписи
Я пытаюсь запустить братан в моем терминале bash. У меня есть дубликат local.bro файл, который я переименовал в localv2.broи положи в мой рабочий каталог /home/bibin, поэтому его не в пути по умолчанию. Я просто пытаюсь сделать простое совпадение по…
24 янв '18 в 18:35
1
ответ
Почему bro ids не показывает трафик youtube по умолчанию
Я настроил bro IDS в моей системе Centos. У меня есть все настройки по умолчанию. Я начал братан просто broctl start а потом я сыграл несколько видео в YouTube и открыть несколько других сайтов. Я поражен тем, что в логах (например, http.log) содерж…
19 май '16 в 10:08
1
ответ
Сбор статистики по текущему трафику с Bro
Я хочу собирать статистику по трафику каждые 10 секунд, и единственный инструмент, который я нашел, это событие connection_state_remove, event connection_state_remove(c: connection) { SumStats::observe( "traffic", [$str="all"] [$num=c$orig$num_bytes…
19 окт '17 в 08:58
1
ответ
BrO IDS не может запуститься после обновления интерфейса
У меня есть сборка Bro IDS из исходного кода. Успешно установлено user@ubuntu:~$ bro -v bro version 2.4.1 Я бегу братан в ВМ. Мой интерфейс Ethernet в ens33 вместо eth0. После обновления node.cfg на мой пользовательский интерфейс, т. Е. Ens33, я все…
21 сен '17 в 05:42
0
ответов
Как визуализировать данные в мониторе сетевой безопасности Bro
Я настроил Bro Network Security Monitor в своей системе Linux. В каталоге журналов, Bro поддерживает различные журналы. В каждом файле данные находятся в форме tsv. Я должен визуализировать эти данные для лучшего использования и мониторинга. Я думаю…
28 апр '16 в 04:12
0
ответов
Suricata/Snort правила выпуска
Это правило Суриката 2012887 озадачить меня. Инцидент возникает, когда пароль в открытом тексте в запрошенном URL pass=, Так что моя путаница в том, что я получаю этот инцидент без этого контента pass= в URL. В каких случаях происходит этот инцидент…
28 май '18 в 21:42
0
ответов
Состояние TailFile постоянно увеличивает и дублирует события
В настоящее время я использую NiFi для чтения журналов BRO IDS с помощью плагина JSON Streaming. Плагин записывает вывод в формате JSON, который вращает свои файлы с 15-минутными интервалами в формате "json_streaming_type.#. Log", где текущий файл в…
19 сен '18 в 13:53