Estoy trabajando en una tarea en la que mi equipo de seguridad me pide que proporcione un archivo pcap en la carpeta /var/log/snort. Han seleccionado una dirección IP de origen de un archivo de alerta y necesitan realizar más análisis en los archivos pcap (es decir, snort.log.xxxxxxx) para esa dirección IP de origen.
El archivo de alerta y los archivos snort.log.xxxxx están en la misma carpeta. ¿Cómo darles el archivo snort.log.xxxxx exacto para el análisis? Por favor proporcione algunos comandos o cualquier técnica para hacer esto. Soy muy nuevo en este campo. Estoy manejando la máquina Linux (Centos 7) donde Snort descarga los registros.
Respuesta1
Como dijiste, de forma predeterminada, Snort registrará dos maneras:
alert
archivo: contiene metadatos de alerta en formato de textosnort.log.##########
- PCAP del paquete que activó la alerta
La forma en que haría esto (solo con comandos básicos de bash de Linux) sería:
El enfoque de alerta única
Para buscar entradas de alerta:
Busque el alert
archivo. Puede buscar por dirección IP o por nombre de alerta usando grep
.
grep "PATTERN" /var/log/snort/alert
Una línea de entrada de registro típica se vería así:
01/04-03:28:11.959559 [**] [1:1000001:1] Signature_Name [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 192.168.1.1:80 -> 192.168.1.128:39590
Para encontrar el archivo PCAP correspondiente:
Luego, para determinar qué archivo se escribió, puede mirar las horas de modificación en una lista larga del directorio ( ls -l
), o puede convertir la marca de tiempo (no olvide agregar el año y dejar un espacio entre la fecha y la hora). ) a la época del tiempo usando el siguiente comando:
date "+%s" -d "01/04/2018 03:28:11.959559"
Producción:
1515054491
Luego busque un archivo llamado snort.log.1515054491
. Eso debería contener los datos PCAP.
Si necesita varios registros para una dirección IP
Este es el enfoque del mazo. Si quieren entradas de ambos archivos que solo pertenezcan a una única dirección IP, esto es lo que yo haría:
Entradas de archivos de alerta
Busque la dirección IP y luego escriba el resultado en un archivo separado.
grep "192.168.1.1" /var/log/snort > /tmp/alerts_192.168.1.1.txt
Eso debería filtrar solo las líneas donde aparece la dirección IP y redirigirla a un nuevo archivo que puede proporcionarle al equipo de seguridad.
Archivos PCAP
Yo tendría cuidado al hacer esto ya que el directorio de registro de snort puede ser muy grande y la iteración sobre un grupo grande de archivos podría ejercer presión sobre un sistema (especialmente si se trata de un sensor con un volumen de tráfico muy alto). Recomendaría usar una máscara de archivo para un período de tiempo aproximado para los datos que está buscando. Tenga en cuenta que este período de tiempo debe estar en formato de época.
Digamos que el equipo quiere que todo desde ahora se remonte hace una hora (3600 segundos). La marca de tiempo de la época es 1515054491. Resta 3600 de eso y obtendrás 1515050891.
1515050891 - Start
1515054491 - End
151505???? - File mask (close enough)
Luego crearía un bucle for para recorrer todos esos archivos y realizaría un comando tcpdump para filtrar solo en la dirección IP en cuestión.
tcpdump -r infile -w outfile "BPF"
Las opciones:
- -r es para leer desde un archivo (en lugar de iniciar una captura en vivo desde una interfaz)
- -w es para escribir la salida en un archivo
- "BPF": filtro de paquetes de Berkley (en este caso, sería "host 192.168.1.1" para especificar cualquier paquete con esa IP).
Y ahora el bucle for:
cd /var/log/snort
for file in snort.log.151505????
do
tcpdump -r $file -w /tmp/$file "host 192.168.1.1"
done
Y ahora debería tener una copia de todos sus archivos de alerta en la /tmp
carpeta, pero solo con los datos relacionados con esa dirección IP específica. Si lo ha mergecap
instalado, recomendaría combinarlos todos en un solo archivo PCAP usando lo siguiente:
mergecap -w /tmp/snort_log_192.168.1.1.pcap /tmp/snort.log.*
Debes saber que tienes dos archivos en /tmp
:
- /tmp/alerts_192.168.1.1.txt
- /tmp/snort_log_192.168.1.1.pcap
Luego, proporcione esos archivos a su equipo de seguridad.