- •Сравните содержимое файла и результаты вывода на экран. Почему присутствует строка
- •-Для каждого из перечисленных выше инструментов опишите его функции, значение и положение в рабочем процессе анализа обеспечения безопасности.
- •-Почему w32. Nimda.Amm.Exe является единственным файлом в данных перехвата?
- •-Был ли сохранен файл? Да
-Для каждого из перечисленных выше инструментов опишите его функции, значение и положение в рабочем процессе анализа обеспечения безопасности.
Sphinx — это поисковая система с открытым исходным кодом, которая используется ELSA для предоставления возможностей поиска.
Pulledpork — это система управления правилами Snort. Это облегчает обновление правил Snort. Устаревшие правила Snort делают всю систему бесполезной.
OSSEC — это система, используемая для нормализации и концентрации локальных системных журналов. При развертывании по всей организации OSSEC позволяет аналитику получить четкое представление о том, что происходит в системах.
Squert — это визуальный инструмент, который пытается предоставить дополнительный контекст событиям за счет использования метаданных, представлений временных рядов, а также взвешенных и логически сгруппированных наборов результатов.
Сначала ответьте на следующие вопросы. Они имеют важное значение для построения сценария.
В контексте преобразования метки времени какой символ будет работать в качестве правильного разделителя для данного файла журнала Apache?
Пробеллы
-Сколько столбцов содержит данный файл журнала Apache? 7
-Какой столбец этого файла журнала Apache содержит метку времени в формате Unix Epoch? Столбец 4
-Смог ли этот сценарий правильно преобразовать метки времени? Опишите выходные данные.
Нет. Все временные метки теперь указаны в Wed 31 Dec 1969 07:00:00 PM EST.
Перед тем как продолжить, подумайте об этих выходных данных сценария. Можете ли вы определить, что послужило причиной неправильных выходных данных? Ошибка сценария? Какие важные различия существуют между файлами applicationX_in_epoch.log и apache_in_epoch.log?
Проблема в квадратных скобках в файле курса. Сценарий ожидает, что метка времени будет в формате эпохи Unix, который не включает квадратные скобки. Поскольку сценарий не знает, какое число представляет символ «[», он принимает нуль и возвращает начало времени Unix в формате UTC -5.
На терминале ВМ CyberOps Workstation выполните скорректированный сценарий следующим образом.
[analyst@secOps lab.support.files]$ awk 'BEGIN {FS=OFS=" "}{gsub(/\[|\]/,"",$4)}{print}{$4=strftime("%c",$4)}{print}' apache_in_epoch.log
-Смог ли сценарий правильно преобразовать метки времени в этот раз? Опишите выходные данные.
Да. Вывод теперь отображает две строки для каждой записи журнала. В первой строке отображается метка времени в формате Unix Epoch, а во второй строке — та же запись журнала с меткой времени, отображаемой в формате, удобочитаемом человеком.
-Уделите некоторое время для поиска в Google информации об этих дополнительных инструментах и ответьте на следующие вопросы.
Для каждого из перечисленных выше инструментов опишите его функции, значение и положение в рабочем процессе анализа обеспечения безопасности.
Sphinx — это поисковая система с открытым исходным кодом, которая используется ELSA для предоставления возможностей поиска.
Pulledpork — это система управления правилами Snort. Это облегчает обновление правил Snort. Устаревшие правила Snort делают всю систему бесполезной.
OSSEC — это система, используемая для нормализации и концентрации локальных системных журналов. При развертывании по всей организации OSSEC позволяет аналитику получить четкое представление о том, что происходит в системах.
Squert — это визуальный инструмент, который пытается предоставить дополнительный контекст событиям за счет использования метаданных, представлений временных рядов, а также взвешенных и логически сгруппированных наборов результатов.
Лаб 4
a. После прохождения этого учебного курса запишите функции некоторых метасимволов, которые используются в регулярных выражениях.
Метасимволы |
Описание |
$ |
Соответствует конечной позиции в строке |
* |
Соответствует ноль или более раз для предыдущего элемента |
. |
Любой одиночный символ |
[ ] |
любой одиночный символ в списке |
\. |
период |
\d |
Любой цифровой символ |
\D |
Любой нецифровой символ |
^ |
Соответствует начальной позиции в строке |
{m} |
соответствует m количество повторений |
{n,m} |
не менее n повторений, но не более m раз |
abc|123 |
Соответствует любой строке, соответствующей любому выражению: 123, abc |
Шаг 2: Опишите представленный шаблон регулярного выражения.
Шаблон регулярного выражения |
Описание |
^83 |
Любая строка, начинающаяся с цифры 83 |
[A-Z]{2,4} |
Любая строка, содержащая от 2 до 4 заглавных букв подряд |
2015 |
Любая строка, содержащая число 2015 |
05:22:2[0-9] |
Любая строка, содержащая от 05:22:20 до 05:22:29. |
\.com |
Любая строка, содержащая .com |
complete|GET |
Любая строка, которая соответствует завершению или GET |
0{4} |
|
Лаб4
-Какие все символы отображаются в окне Follow TCP Stream (Отслеживать поток TCP)? Являются ли они шумом подключения? Для передачи данных? Дайте пояснени
Символы — это фактическое содержимое загруженного файла. Поскольку это двоичный файл, Wireshark не знает, как его представить. Отображаемые символы — это лучшая попытка Wireshark понять смысл двоичных данных при декодировании их как текста.
-Среди этих символов видны несколько читаемых слов. Почему они там присутствуют?
Обычно эти слова являются частью сообщений, предоставляемых программой пользователю во время ее работы. Хотя это больше искусство, чем наука, опытный аналитик может извлечь ценную информацию, прочитав эти фрагменты.