Вы находитесь на странице: 1из 12

Лабораторная работа.

Преобразование данных в
универсальный формат
Задачи
Часть 1. Нормализация метки времени в файле журнала.
Часть 2. Нормализация метки времени в файле журнала Apache Часть
3. Подготовка файла журнала в Security Onion

Общие сведения и сценарий


Эта лабораторная работа научит студентов, как находить место хранения файлов журналов, а также
как управлять ими и просматривать их. Записи журнала формируются сетевыми устройствами,
операционными системами, приложениями и различными типами программируемых устройств. Файл,
содержащий потоковую передачу упорядоченных по времени записей журнала, называется файлом
журнала.
По своей природе файлы журнала регистрируют события, относящиеся к источнику. Синтаксис и
формат данных в сообщениях журнала часто определяются разработчиком приложения.
Таким образом, терминология, используемая в записях журнала, часто меняется от источника к
источнику. Например, в зависимости от источника термины «идентификатор пользователя», «вход
в систему», «событие аутентификации» и «подключение пользователя» могут присутствовать в
записях журнала при описании успешной аутентификации пользователя на сервере.
Часто желательно, чтобы в журналах, формируемых разными источниками, использовалась
согласованная и единообразная терминология. Это особенно справедливо в тех случаях, когда все
файлы журналов собираются централизованной системой.
Термин нормализация — это процесс преобразования частей сообщения, в данном случае записи
журнала, в общий формат.
В этой лабораторной работе вы будете использовать инструменты командной строки для ручной
нормализации записей журнала. В части 2 будут нормализовано поле меток времени. В части 3 будет
нормализовано поле IPv6.
Примечание. Существует большое число разных подключаемых модулей для нормализации журнала,
главное — понимать основы процесса нормализации.

Необходимые ресурсы
• Виртуальная машина рабочей станции CyberOps
• Виртуальная машина Security Onion

Часть 1. Нормализация метки времени в файле журнала.


Метки времени используются в записях журнала, чтобы указать время, когда произошло записанное
событие. Хотя на практике рекомендуется регистрировать метки времени в формате UTC, однако
формат метки времени может быть разным для разных источников журнала. Существуют два
распространенных формата метки времени, известные как Unix Epoch и Human Readable.
Метки времени Unix Epoch регистрируют время путем измерения количества секунд, прошедших с 1
января 1970 года.

Конфиденциальная информация корпорации Cisco Стр. 1 из 12 www.netacad.com
Лабораторная работа. Преобразование данных в универсальный формат
Cisco и/или ее дочерние компании. Все права защищены.
Метки времени Human Readable регистрируют время путем представления отдельных значений для
года, месяца, дня, часа, минут и секунд.
Метка времени в формате Human Readable Wed, 28 Jun 2017 13:27:18 GMT аналогична метке
времени 1498656439 в формате Unix Epoch.
С точки зрения возможностей программирования гораздо легче работать с Epoch, поскольку этот
формат упрощает сложение и вычитание. Однако при проведении анализа метки времени Human
Readable гораздо проще для понимания.
Преобразование меток времени Epoch в Human Readable с помощью AWK
AWK — язык программирования, разработанный для работы с текстовыми файлами. Он очень
эффективен и особенно полезен при работе с текстовыми файлами, где строки содержат несколько
полей, разделенных символом разделителя. Файлы журнала содержат одну запись на строку и
отформатированы в виде полей, разделенных разделителем, что делает AWK удобным
инструментом для нормализации.
Рассмотрим файл applicationX_in_epoch.log, приведенный ниже. Конкретный источник этого файла
журнала не имеет значения.
2|Z|1219071600|AF|0
3|N|1219158000|AF|89
4|N|1220799600|AS|12
1|Z|1220886000|AS|67
5|N|1220972400|EU|23
6|R|1221058800|OC|89

Файл журнала выше был создан приложением X. В этом файле важно следующее.
o Столбцы разделены запятыми или символом |. Таким образом, этот файл состоит из пяти
столбцов.
o Третий столбец содержит метки времени в формате Unix Epoch.
o Файл содержит дополнительную строку в конце. Это сыграет важную роль далее в данной
лабораторной работе.
Предположим, для анализа журнала необходимо преобразовать метки времени в формат Human
Readable. Выполните следующие действия, чтобы вручную выполнить преобразование с помощью
AWK.
a. Запустите ВМ CyberOps Workstation и затем запустите окно терминала.
b. С помощью команды cd измените текущий каталог на /home/analyst/lab.support.files/. Здесь
хранится копия показанного выше файла.
[analyst@secOps ~]$ cd ./lab.support.files/
[analyst@secOps lab.support.files]$ ls -l
total 580
-rw-r--r-- 1 analyst analyst 649 Jun 28 18:34 apache_in_epoch.log -rw-
r--r-- 1 analyst analyst 126 Jun 28 11:13 applicationX_in_epoch.log
drwxr-xr-x 4 analyst analyst 4096 Aug 7 15:29 attack_scripts -rw-r--r--
1 analyst analyst 102 Jul 20 09:37 confidential.txt
<output omitted>
[analyst@secOps lab.support.files]$

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 2 из 12 www.netacad.com
Лабораторная работа. Преобразование данных в универсальный формат

c. Введите следующую команду AWK для преобразования и вывода результата на терминал:


Примечание. В следующем сценарии легко ошибиться при вводе данных. Попробуйте
скопировать этот сценарий в текстовый редактор и удалить лишние переходы на новую строку.
Затем скопируйте сценарий из текстового редактора в окно терминала ВМ CyberOps Workstation.
Однако не забудьте прочитать следующее ниже объяснение этого сценария, чтобы узнать, как
этот сценарий изменяет поле метки времени.
[analyst@secOps lab.support.files]$
2|Z|Mon 18 Aug 2008 11:00:00 AM EDT|AF|0
3|N|Tue 19 Aug 2008 11:00:00 AM EDT|AF|89
4|N|Sun 07 Sep 2008 11:00:00 AM EDT|AS|12
1|Z|Mon 08 Sep 2008 11:00:00 AM EDT|AS|67
5|N|Tue 09 Sep 2008 11:00:00 AM EDT|EU|23
6|R|Wed 10 Sep 2008 11:00:00 AM EDT|OC|89
||Wed 31 Dec 1969 07:00:00 PM EST
[analyst@secOps lab.support.files]$

Эта команда представляет собой сценарий AWK. Он может показаться сложным. Основная
структура вышеприведенного сценария AWK выглядит следующим образом.

• awk вызывает интерпретатор AWK.


• 'BEGIN определяет начало выполнения сценария.
• Параметр {} определяет действия, предпринятые в каждой строке ввода текстового
файла. Сценарий AWK может содержать несколько действий.

• FS = OFS = “|” определяет, что разделителем полей будет символ вертикальной черты (|).
Текстовые файлы могут использовать различные разделители полей. Данный оператор
позволяет пользователю определять, какой символ используется в качестве разделителя
полей в текущем текстовом файле.

• $3 указывает на значение в третьем столбце текущей строки. В applicationX_in_epoch.log


третий столбец содержит метку времени в формате epoch, которую нужно преобразовать.

• strftime — это внутренняя функция AWK, предназначенная для работы со временем. %C и

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 3 из 12 www.netacad.com
Лабораторная работа. Преобразование данных в универсальный формат

$3, заключенные в скобки, являются параметрами, переданными в strftime.

• applicationX_in_epoch.log — это входной текстовый файл для загрузки и обработки.


Поскольку вы уже находитесь в каталоге lab.support.files, то не нужно добавлять
путь/home/analyst/lab.support.files/applicationX_in_epoch.log.
Первое действие сценария, определенное в первом наборе фигурных скобок, является
определением символа разделителя полей «|». Затем во втором наборе фигурных скобок
значение третьего столбца каждой строки перезаписывается результатом выполнения функции
strftime(). Функция strftime() является внутренней функцией AWK, предназначенной для
преобразования времени. Обратите внимание, что данный сценарий требует от этой функции
использовать содержимое третьего столбца каждой строки до его изменения ($3) и форматировать
выходные данные (%c).

d. Хотя вывод результата на экран полезен для поиска и устранения неполадок сценария, но
аналитику, скорее всего, потребуется сохранить выходные данные в текстовом файле.
Перенаправьте выходные данные этого сценария в файл с именем applicationX_in_human.log,
чтобы сохранить их в файл.
[analyst@secOps lab.support.files]$ awk 'BEGIN {FS=OFS="|"}{$3=strftime("%c",$3)}
{print}' applicationX_in_epoch.log > applicationX_in_human.log
[analyst@secOps lab.support.files]$

e. Используйте cat для просмотра файла applicationX_in_human.log. Обратите внимание, что


дополнительная строка теперь отсутствует, а метки времени для записей журнала были
преобразованы в формат human readable.
[analyst@secOps lab.support.files]$ cat applicationX_in_human.log
2|Z|Mon 18 Aug 2008 11:00:00 AM EDT|AF|0
3|N|Tue 19 Aug 2008 11:00:00 AM EDT|AF|89 4|N|Sun
07 Sep 2008 11:00:00 AM EDT|AS|12 1|Z|Mon 08 Sep
2008 11:00:00 AM EDT|AS|67
5|N|Tue 09 Sep 2008 11:00:00 AM EDT|EU|23
6|R|Wed 10 Sep 2008 11:00:00 AM EDT|OC|89
[analyst@secOps lab.support.files]$

Часть 2. Нормализация меток времени в файле журнала Apache


Аналогично операции с файлом applicationX_in_epoch.log можно нормализовать файлы журнала
Apache. Выполните следующие действия для преобразования меток времени из формата Unix Epoch в
формат Human Readable. Рассмотрим следующий файл журнала Apache apache_in_epoch.log.
[analyst@secOps lab.support.files]$ cat apache_in_epoch.log
 Cisco и/или ее дочерние компании. Все права защищены.
Конфиденциальная информация корпорации Cisco Стр. 4 из 12 www.netacad.com
Лабораторная работа. Преобразование данных в универсальный формат
198.51.100.213 - - [1219071600] "GET
/twiki/bin/edit/Main/Double_bounce_sender?topicparent=Main.ConfigurationVariables
HTTP/1.1" 401 12846
198.51.100.213 - - [1219158000] "GET
/twiki/bin/rdiff/TWiki/NewUserTemplate?rev1=1.3&rev2=1.2 HTTP/1.1" 200 4523
198.51.100.213 - - [1220799600] "GET /mailman/listinfo/hsdivision HTTP/1.1" 200 6291
198.51.100.213--[1220886000] "GET /twiki/bin/view/TWiki/WikiSyntax HTTP/1.1" 200 7352
198.51.100.213 - - [1220972400] "GET /twiki/bin/view/Main/DCCAndPostFix HTTP/1.1" 200
5253
198.51.100.213 - - [1221058800] "GET
/twiki/bin/oops/TWiki/AppendixFileSystem?template=oopsmore&m1=1.12&m2=1.12 HTTP/1.1" 200
11382

Этот файл журнала Apache содержит шесть записей, которые зарегистрировали события,
связанные с веб-сервером Apache. Каждая запись содержит семь полей. Поля разделяются
пробелами.
o В первом столбце указан адрес IPv4 (198.51.100.213) веб-клиента, отправившего данный
запрос.
o Второй и третий столбцы не используются, и для замены отсутствующего значения
применяется символ «–».
o Четвертый столбец содержит метку времени в формате Unix Epoch, например [1219071600].
o Пятый столбец содержит текст с подробными сведениями о событии, включая URL-адреса и
параметры веб-запроса. Все шесть записей являются сообщениями HTTP GET. Поскольку эти
сообщения содержат пробелы, все поле заключено в кавычки. O

o Шестой столбец содержит код состояния HTTP, например 401.

o Седьмой столбец содержит размер ответа данному клиенту (в байтах), например 12846.

Аналогично части 1 здесь будет создан сценарий для преобразования метки времени из формата
Epoch в формат Human Readable.
a. На терминале ВМ CyberOps Workstation копия файла журнала Apache apache_in_epoch.log
хранится в каталоге /home/analyst/lab.support.files.
b. Используйте сценарий awk для преобразования поля метки времени в формат human readable.
Обратите внимание, что команда содержит тот же сценарий, который использовался ранее, но с
некоторыми корректировками для поля метки времени и имени файла.
[analyst@secOps lab.support.files]$ awk 'BEGIN {FS=OFS=" "}{$4=strftime("%c",$4)}
{print}' /home/analyst/lab.support.files/apache_in_epoch.log
Смог ли этот сценарий правильно преобразовать метки времени? Опишите выходные данные.

Перед тем как продолжить, подумайте об этих выходных данных сценария. Можете ли вы определить,
что послужило причиной неправильных выходных данных? Ошибка сценария? Какие важные различия
существуют между файлами applicationX_in_epoch.log и apache_in_epoch.log?
 Cisco и/или ее дочерние компании. Все права защищены.
Конфиденциальная информация корпорации Cisco Стр. 5 из 12 www.netacad.com
Лабораторная работа. Преобразование данных в универсальный формат

c. Для того чтобы устранить эту проблему, необходимо удалить квадратные скобки из поля метки
времени до начала преобразования. Настройте сценарий, добавив перед преобразованием два
действия, как показано ниже.
[analyst@secOps lab.support.files]$ awk 'BEGIN {FS=OFS=" "} {gsub(/\[|\]/,"",
$4)}{print}{$4=strftime("%c",$4)}{print}' apache_in_epoch.log
Обратите внимание, что после определения пробела в качестве разделителя с помощью
{FS=OFS=” “} добавлена операция с регулярным выражением для поиска и замены квадратных
скобок пустой строкой, которое приводит к эффективному удалению квадратных скобок, которые
присутствуют в поле метки времени. Второе действие выводит на экран измененные строки, что
позволяет выполнить преобразование.

• gsub() — это внутренняя функция AWK, используемая для поиска и замены строк. В
приведенном выше сценарии gsub() получила три параметра, разделенные запятыми,
описанные ниже.

• /\[|\]/ — регулярное выражение, передаваемое на gsub() в качестве первого параметра.


Данное регулярное выражение следует читать как find “[“ OR “]”. Рассмотрим это
выражение подробно.
o Первый и последний символ «/» отмечает начало и конец блока поиска. Все между
первым «/» и вторым символом «/» относится к критериям поиска. Символ «/»
экранирует следующий символ «[». Это необходимо, поскольку символ «[» также
может быть использован каким-либо оператором в регулярных выражениях.
Экранируя символ «[» путем добавления символа «\», мы сообщаем
интерпретатору, что «]» является частью содержимого, а не оператора. Символ «|»
является оператором ИЛИ. Обратите внимание, что символ «|» не экранирован и
поэтому будет рассматриваться в качестве оператора. Наконец, регулярное
выражение экранирует закрывающую квадратную скобку строкой «\]», как и ранее.

• «» обозначает отсутствие символов или пустую строку. Этот параметр указывает gsub(), на
что надо заменить найденные символы «[» и «]». Путем замены «[» и «]» на «» gsub()
удаляет из строки символы «[» и «]».

• $4 говорит gsub(), что нужно обработать только четвертый столбец текущей строки,
столбец метки времени.
Примечание. Интерпретация регулярных выражений — это тема экзамена SECOPS. Регулярные
выражения будут рассмотрены более подробно в другой лабораторной работе в этой главе. При
желании вы можете найти учебные курсы в Интернете.
d. На терминале ВМ CyberOps Workstation выполните скорректированный сценарий следующим
образом.
[analyst@secOps lab.support.files]$ awk 'BEGIN {FS=OFS=" "}{gsub(/\[|\]/,"",
$4)}{print}{$4=strftime("%c",$4)}{print}' apache_in_epoch.log
Смог ли сценарий правильно преобразовать метки времени в этот раз? Опишите выходные
данные.

Часть 3. Подготовка файла журнала в Security Onion


Поскольку нормализация файла журнала очень важна, то инструменты для анализа часто содержат
соответствующие функции. Инструменты, которые не содержат такие функции, часто используют для
 Cisco и/или ее дочерние компании. Все права защищены.
Конфиденциальная информация корпорации Cisco Стр. 6 из 12 www.netacad.com
Лабораторная работа. Преобразование данных в универсальный формат

нормализации и подготовки журнала подключаемые модули. Такие подключаемые модули позволяют


аналитическим инструментам выполнить нормализацию и подготовку полученных файлов журнала
перед проведением анализа.
Устройство Security Onion использует ряд инструментов для анализа журналов. Наиболее часто
используются инструменты: ELSA, Bro, Snort и SGUIL.
ELSA (поиск и архивация журналов в корпоративной среде) позволяет решать следующие задачи:

• Нормализация, хранение и индексация журналов в неограниченных объемах и с любой


частотой.

• Предоставление простого и понятного интерфейса поиска и API.


• Создание инфраструктуры для оповещений, отчетности и совместного использования
журналов.

• Управление действиями пользователя с локальными полномочиями или полномочиями на


основе AD/LDAP.

• Система подключаемых модулей для операций с журналами.


• Существует в форме полностью бесплатного проекта с открытым исходным кодом.
Bro — это платформа, предназначенная для анализа сетевого трафика и создания журналов событий
на его основе. После анализа сетевого трафика Bro создает журналы, описывающие события,
например следующие:

• Сетевые подключения TCP/UDP/ICMP


• Активность DNS
• Активность FTP
• Запросы и ответы HTTPS
• Квитирование SSL/TLS
Snort и SGUIL
Snort — это IDS, которая основывается на ранее определенных правилах и помечает потенциально
опасный трафик. Snort при поиске шаблонов, заданных в своих правилах, рассматривает все части
сетевых пакетов (заголовки и полезные данные). В случае обнаружения Snort выполняет действие,
определенное в этом правиле.
SGUIL предоставляет графический интерфейс для операций с журналами и оповещениями Snort,
позволяя аналитику безопасности переходить из SGUIL в другие инструменты для получения
дополнительной информации. Например, если потенциально вредоносный пакет отправляется на
вебсервер организации и Snort создает оповещение о нем, то SGUIL внесет это оповещение в список.
Аналитик затем может щелкнуть правой кнопкой мыши по этому оповещению для поиска в базах
данных ELSA или Bro, чтобы лучше понять данное событие.
Примечание. Список каталогов может отличаться от примера выходных данных, показанных ниже.
Шаг 1. Переключитесь на Security Onion.
Запустите виртуальную машину Security Onion из панели управления в VirtualBox (имя
пользователя: analyst и пароль: cyberops). Виртуальную машину CyberOps Workstation можно
закрыть, чтобы освободить память в хостовом компьютере для этой части лабораторной работы

Шаг 2. Журналы ELSA


a. Откройте терминал виртуальной машины Security Onion. Можно открыть меню приложений,
показанное на следующем снимке экрана.
св
 Cisco и/или ее дочерние компании. Все права защищены.
Конфиденциальная информация корпорации Cisco Стр. 7 из 12 www.netacad.com
Лабораторная работа. Преобразование данных в универсальный формат

b. Также можно щелкнуть правой кнопкой мыши Desktop (Рабочий стол) > Open Terminal Here
(Открыть терминал здесь), как показано на следующем снимке экрана.

c. Журналы ELSA можно найти в каталоге /nsm/elsa/data/elsa/log/. Измените текущий каталог с


помощью следующей команды:
analyst@SecOnion:~/Desktop$ cd /nsm/elsa/data/elsa/log
analyst@SecOnion:/nsm/elsa/data/elsa/log$
d. Выведите список файлов командой ls –l.
analyst@SecOnion:/nsm/elsa/data/elsa/log$ ls -l
total 99112 total 169528
-rw-rw---- 1 www-data sphinxsearch 56629174 Aug 18 14:15 node.log
-rw-rw---- 1 www-data sphinxsearch 6547557 Aug 3 07:34 node.log.1.gz -rw-rw----
1 www-data sphinxsearch 7014600 Jul 17 07:34 node.log.2.gz
-rw-rw---- 1 www-data sphinxsearch 6102122 Jul 13 07:34 node.log.3.gz -rw-rw----
1 www-data sphinxsearch 4655874 Jul 8 07:35 node.log.4.gz
-rw-rw---- 1 www-data sphinxsearch 6523029 Aug 18 14:15 query.log

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 8 из 12 www.netacad.com
Лабораторная работа. Преобразование данных в универсальный формат

-rw-rw---- 1 www-data sphinxsearch 53479942 Aug 18 14:15 searchd.log -rw-rw----


1 www-data sphinxsearch 32613665 Aug 18 14:15 web.log
analyst@SecOnion:/nsm/elsa/data/elsa/log$

Шаг 3. Журналы Bro в Security Onion


a. Журналы Bro хранятся в /nsm/bro/logs/. Обычно в системах Linux файлы журнала в
зависимости от текущей даты заменяются, переименовываются и сохраняются на диске.
Текущие файлы журнала можно найти в текущем каталоге. Из окна терминала измените
текущий каталог с помощью следующей команды.
analyst@SecOnion:/nsm/elsa/data/elsa/log$ cd /nsm/bro/logs/current
analyst@SecOnion:/nsm/logs/current$
b. Для того чтобы просмотреть все файлы журнала, создаваемые Bro, используйте команду ls -l.
analyst@SecOnion:/nsm/bro/logs/current$ ls -l total
100
-rw-rw-r-- 1 sguil sguil 368 Aug 18 14:02 capture_loss.log
-rw-rw-r-- 1 sguil sguil 46031 Aug 18 14:16 communication.log
-rw-rw-r-- 1 sguil sguil 2133 Aug 18 14:03 conn.log
-rw-rw-r-- 1 sguil sguil 2028 Aug 18 14:16 stats.log
-rw-rw-r-- 1 sguil sguil 40 Aug 18 14:00 stderr.log
-rw-rw-r-- 1 sguil sguil 188 Aug 18 13:46 stdout.log
analyst@SecOnion:/nsm/bro/logs/current$

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 9 из 12 www.netacad.com
Лабораторная работа. Преобразование данных в универсальный формат

Шаг 4. Журналы Snort

a. Журналы Snort можно найти в каталоге /nsm/sensor_data /. Измените текущий каталог следующим
образом.
analyst@SecOnion:/nsm/bro/logs/current$ cd /nsm/sensor_data
analyst@SecOnion:/nsm/sensor_data$

b. Для того чтобы просмотреть все файлы журнала, создаваемые Snort, используйте команду ls -l.
analyst@SecOnion:/nsm/sensor_data$ ls -l total 16
drwxrwxr-x 7 sguil sguil 4096 Jun 19 23:16 seconion-eth0
drwxrwxr-x 7 sguil sguil 4096 Jun 19 23:16 seconion-eth1
drwxrwxr-x 7 sguil sguil 4096 Jun 19 23:16 seconion-eth2
drwxrwxr-x 5 sguil sguil 4096 Jun 19 23:08 seconion-eth3
analyst@SecOnion:/nsm/sensor_data$
c. Обратите внимание, что Security Onion разделяет файлы с разными интерфейсами. Поскольку у
образа ВМ Security Onion четыре интерфейса, сохраняются четыре каталога. Используйте
команду ls –l seconion-eth0 для просмотра списка файлов, созданных интерфейсом ethernet 0.
analyst@SecOnion:/nsm/sensor_data$ ls -l seconion-eth0/
total 52 drwxrwxr-x 2 sguil sguil 4096 Jun 19 23:09 argus
drwxrwxr-x 10 sguil sguil 4096 Jul 7 12:09 dailylogs
drwxrwxr-x 2 sguil sguil 4096 Jun 19 23:08 portscans
drwxrwxr-x 2 sguil sguil 4096 Jun 19 23:08 sancp drwxr-xr-x
2 sguil sguil 4096 Jul 7 12:12 snort-1 -rw-r--r-- 1 sguil
sguil 27566 Jul 7 12:12 snort-1.stats -rw-r--r-- 1 root
root 0 Jun 19 23:08 snort.stats

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 10 из 12 www.netacad.com
Лабораторная работа. Преобразование данных в универсальный формат

analyst@SecOnion:/nsm/sensor_data$

Шаг 5. Другие журналы


a. Некоторые файлы журналов хранятся в каталоге /nsm/. Кроме того, более специфичные файлы
журналов можно найти в каталоге /var/log/nsm/. Сделайте этот каталог текущим и используйте
команду ls -l, чтобы просмотреть все файлы журнала в этом каталоге.
analyst@SecOnion:/nsm/sensor_data$ cd /var/log/nsm/
analyst@SecOnion:/var/log/nsm$ ls -l total 8364
-rw-r--r-- 1 sguil sguil 4 Aug 18 14:56 eth0-packets.log
-rw-r--r-- 1 sguil sguil 4 Aug 18 14:56 eth1-packets.log
-rw-r--r-- 1 sguil sguil 4 Aug 18 14:56 eth2-packets.log
-rw-r--r-- 1 sguil sguil 182 Aug 18 13:46 ossec_agent.log
-rw-r--r-- 1 sguil sguil 202 Jul 11 12:02 ossec_agent.log.20170711120202
-rw-r--r-- 1 sguil sguil 202 Jul 13 12:02 ossec_agent.log.20170713120201
-rw-r--r-- 1 sguil sguil 202 Jul 14 12:02 ossec_agent.log.20170714120201
-rw-r--r-- 1 sguil sguil 202 Jul 15 12:02 ossec_agent.log.20170715120202
-rw-r--r-- 1 sguil sguil 249 Jul 16 12:02 ossec_agent.log.20170716120201
-rw-r--r-- 1 sguil sguil 202 Jul 17 12:02 ossec_agent.log.20170717120202
-rw-r--r-- 1 sguil sguil 202 Jul 28 12:02 ossec_agent.log.20170728120202
-rw-r--r-- 1 sguil sguil 202 Aug 2 12:02 ossec_agent.log.20170802120201
-rw-r--r-- 1 sguil sguil 202 Aug 3 12:02 ossec_agent.log.20170803120202
-rw-r--r-- 1 sguil sguil 202 Aug 4 12:02 ossec_agent.log.20170804120201
-rw-r--r-- 1 sguil sguil 42002 Aug 4 07:33 pulledpork.log drwxr-xr-
x 2 sguil sguil 4096 Aug 18 13:46 seconion-eth0 drwxr-xr-x 2 sguil
sguil 4096 Aug 18 13:47 seconion-eth1 drwxr-xr-x 2 sguil sguil
4096 Aug 18 13:47 seconion-eth2 drwxr-xr-x 2 sguil sguil 4096 Jun
19 23:08 securityonion
-rw-r--r-- 1 sguil sguil 1647 Jun 19 23:09 securityonion-elsa-config.log
-rw-r--r-- 1 sguil sguil 7708106 Aug 18 14:56 sensor-clean.log
-rw-r--r-- 1 sguil sguil 1603 Aug 4 00:00 sensor-newday-argus.log
-rw-r--r-- 1 sguil sguil 1603 Aug 4 00:00 sensor-newday-http-agent.log
-rw-r--r-- 1 sguil sguil 8875 Aug 4 00:00 sensor-newday-pcap.log
-rw-r--r-- 1 sguil sguil 53163 Aug 4 05:01 sguil-db-purge.log
-rw-r--r-- 1 sguil sguil 369738 Aug 4 07:33 sid_changes.log
-rw-r--r-- 1 sguil sguil 22598 Aug 8 01:35 so-bro-cron.log
drwxrwxr-x 2 sguil securityonion 4096 Jun 19 23:09 so-elsa -rw-------
1 sguil sguil 7535 Jun 19 23:09 sosetup.log
-rw-r--r-- 1 sguil sguil 14046 Jun 19 23:09 sosetup_salt_call.log
-rw-r--r-- 1 sguil sguil 63208 Jun 19 23:09 sphinx_initialization.log

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 11 из 12 www.netacad.com
Лабораторная работа. Преобразование данных в универсальный формат

-rw-r--r-- 1 sguil sguil 81 Aug 18 14:55 squert-ip2c-5min.log


-rw-r--r-- 1 sguil sguil 1079 Jul 16 06:26 squert-ip2c.log -rw-r--r--
1 sguil sguil 125964 Aug

Обратите внимание, что этот каталог также содержит журналы, используемые дополнительными
инструментами, такими как OSSEC, Pulledpork, Sphinx и Squert.
b. Уделите некоторое время для поиска в Google информации об этих дополнительных инструментах и
ответьте на следующие вопросы.
Для каждого из перечисленных выше инструментов опишите его функции, значение и положение в
рабочем процессе анализа обеспечения безопасности.
Security Onion використовує OSSEC як систему виявлення вторгнень в систему (HIDS). OSSEC
контролює та захищає Security Onion сам, і ви можете додати агенти OSSEC для контролю інших
хостів у вашій мережі.
Squert - це веб-додаток, який використовується для запиту та перегляду даних про події, що
зберігаються в базі даних Sguil (як правило, дані попередження IDS). Squert - це візуальний
інструмент, який намагається надати додатковий контекст подіям за допомогою використання
метаданих, подання часових рядів та зважених та логічно згрупованих наборів результатів.
Security Onion використовує PulledPork, щоб завантажувати нові підписи та обробляти їх у
встановлений список створених користувачем конфігурацій. У розподіленому середовищі Security
Onion вам потрібно лише змінити файл конфігурації на сервері, і сценарій оновлення правил
синхронізується з підписами з Сервера.

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 12 из 12 www.netacad.com