可輕松處理大量流量日志的網絡取證工具——Brim
責編:gltian |2020-04-15 16:26:19安全研究人員最近開發了一個開源桌面應用程序——Brim,可以輕松處理非常大的數據包捕獲(pcap)文件。該網絡取證工具由美國供應商Brim Security開發,并于上個月以開源實用程序形式發布。
(https://github.com/brimsec/brim)
Pcaps提供了用于網絡故障排除和安全事件響應的數據,但是這些原始數據文件很容易變得龐大而笨拙。
這個名為Brim的工具提供了一種通過Zeek網絡流量分析框架搜索大型數據包捕獲和日志的方法。用戶可以通過啟動Wireshark來搜索日志并從特定流中深入分析數據包。
Brim由多個開源組件構建而成,包括:結構化日志查詢引擎zq;用于多平臺用戶界面的Electron和React;以及從數據包捕獲文件生成網絡分析數據的Zeek。
Brim Security的創始人Steve McCanne開發了libpcap,并且是tcpdump的作者之一。當被問及開發該工具(Brim)的原理時,麥卡納表示:
我們希望減少花費任何人(專家級事件響應者和威脅獵人或只是想贏得奪旗大賽的人)尋找有趣時間的時間大數據和日志中的數據。
McCanne指出:
大型安全行動很麻煩,而且細節很多。Zeek日志很好地總結了pcap,但是沒有簡單的方法可以在桌面上搜索它們,也不能輕松地鏈接回pcap。Brim在易于使用的桌面應用程序(開放源代碼)中加入了這些域,因此任何人現在都可以使用它。