来源:https://www.corelight.com/cases/use-cases
人们如何使用Bro。
Bro出色的数据和灵活的脚本语言激发了世界各地的安全和运营团队为这个开源平台寻找创造性的应用程序。以下是一些例子:
一、威胁狩猎
1、评估恶意软件攻击的范围
从Bro文件files.log下转获取恶意程序散列,以立即查看下载了恶意文件的环境中的所有其他主机,然后优先考虑其他事件响应工作,如代理部署。
2、查找用于调查的PCAP文件
Bro提供关于网络流量的深入、详细的数据,适用于各种安全挑战。那人们为什么用Bro?使用Bro的网络日志和时间戳快速定位验证结论所需的PCAP文件的相关部分。
更快、更准确的事件响应。
3、验证封堵和补救
使用Bro的网络日志进行入侵后监控,以查找恶意软件信标的复发。
4、提高防御能力
使用Bro的跨协议连续日志来建立历史事件的“基本事实”,最小化法律费用和披露范围。
二、威胁检测
1、检测隐藏的C2服务器通信
当攻击者试图在一个传说中的SSL连接中伪装他们的C2流量时,通过Bro的dpd.log发现实时C2通信。
2、横向运动检测
将Bro日志传送到真正的情报威胁分析(RITA)工具,创建一个潜在信标活动的每日报告,供威胁猎人调查。
3、检测端口外协议使用情况
使用Bro的深度协议解析功能来标识在非标准端口上运行的网络服务,如HTTP或DNS。
4、用于欺诈检测的指纹连接
创建自定义的Bro日志,对连接进行指纹识别,并识别API欺诈和帐户接管等问题。
5、调查未经授权的SMB文件访问
使用Bro的SMB日志作为证据来源,记录终端用户在未经授权的情况下对敏感SMB文件共享的访问。
三、数据丰富
1、提高DNS的可见性
使用Bro的dns.log(包含查询和响应)来访问取证信息服务器日志无法提供的信息,因为缺少详细信息。
2、识别脆弱的软件
使用Bro的software.log来识别在环境中运行的过时或易受攻击的软件,如Java或Flash。
3、显示了Cyrillic的键盘用法
监控Bro的rdp.log,以识别在一个环境中使用俄文字符集键盘的情况,这可能意味着不寻常的行为。
4、验证使用强加密的敏感连接
通过Bro的ssl.log验证用于敏感连接的所有TLS会话都使用了适当的强密码,如果检测到不太安全的密码,安全操作人员将立即采取补救措施。
四、网络运营
1、创建连接设备的清单
盘点联网设备及其服务,无需安装主机代理,使用Bro的software.log监控员工使用的BYO软件。
2、监视有风险的SSL证书
通过Bro的ssl.log监视自签名和过期或即将过期的证书。
3、负载平衡器问题的故障排除
通过从Bro的网络日志中收集的证据以及安全与网络操作团队之间的相互指责,诊断在实验室环境中难以或不可能复制的负载平衡器性能问题。
五、为什么使用Bro
Bro提供关于网络流量的深入、详细的数据,适用于各种安全挑战。那人们为什么用Bro?
更快、更准确的事件响应。
1、以大约20倍的速度减少时间响应时间
2、更加快速地过滤假阳性
3、诊断攻击并更加快速地理解上下文
更加有效地进行威胁捕获
1、扩展威胁捕获能力,识别有趣的或则有风险的IOC,并下转到PCAP进行深入调查
2、产生和聚合破坏指标,使用威胁情报标记可疑/恶意的IP,并使用日志显示和聚集环境中所使用的稀有证书。
3、主动捕获像勒索软件一类的威胁,使用SMB日志和文件分析器监视文件,已发现文件的熵变化,从而确定是否出现勒索事件发生。
更加快速地获取真相
1、诊断负载均衡问题
2、获取流氓软件的部署
