ZUI. Анализируем трафик с помощью нового быстрого инструмента - «Новости»

офи­циаль­ного сай­та при­ложе­ния уста­нов­щик и запус­тить его.

Интерфейс

Сна­чала полюбу­емся минима­лис­тичным UI и уви­дим, нас­коль­ко он фун­кци­она­лен. На вход прог­раммы мож­но подавать JSON, CSV, ZSON, ZNG и фай­лы дру­гих фор­матов, но нам инте­рес­нее все­го скор­мить ZUI файл PCAP или струк­туриро­ван­ный лог, нап­ример Zeek log.

Глав­ная стра­ница ути­литы

Как толь­ко ты откро­ешь файл PCAP в ZUI, он тут же прой­дет­ся по нему движ­ками Zeek и Suricata, пос­ле чего отоб­разит все наход­ки, а так­же под­тянет ссыл­ки на най­ден­ные хеши с VirusTotal. Ну что ска­зать, кру­то!

Pool — это мес­то, где хра­нит­ся пре­обра­зован­ный PCAP. Ты можешь заг­ружать сра­зу нес­коль­ко фай­лов в один pool, и все дан­ные из них будут дос­тупны в одной стро­ке поис­ка. На тай­млай­не мож­но выб­рать диапа­зон вре­мени, который сей­час тре­бует­ся изу­чить. В деталях мож­но пос­мотреть самую цен­ную информа­цию, эта­кие поля кор­реляции.

Мне показа­лась осо­бен­но инте­рес­ной фича с неболь­шой диаг­рам­мкой вза­имо­дей­ствия двух хос­тов. Она отоб­ража­ется, если открыть лог с зеленым тегом conn. Так­же весь­ма полез­на кноп­ка откры­тия потока дан­ных в Wireshark, но о ней уже было ска­зано выше.

Не­боль­шая диаг­рамма вза­имо­дей­ствия хос­тов 

Применяем ZUI на практике и пишем запросы

На­чать сто­ит с того, что писать зап­росы с помощью ZQL query сов­сем не труд­но. Дос­таточ­но прос­то най­ти в логах нуж­ные поля и отфиль­тро­вать по ним логи. Стро­ка зап­роса будет обрастать новыми и новыми усло­виями поис­ка. Лич­но я пос­тоян­но забываю, как находить ту или иную информа­цию с помощью филь­тров Wireshark.

Соз­дание филь­тру­юще­го пра­вила с помощью выбора полей

Я под­готовил для тебя при­меры зап­росов поис­ка, которые пок­роют основные юзкей­сы при работе с ZUI.

Ко­личес­тво каж­дой катего­рии тегов: