Zeek?
Zeek은 오픈소스 NIDS(Network + IDS)로 네트워크 보안 모니터링 도구다.
Zeek의 목적은 네트워크 트래픽을 검사하고 보이는 활동을 설명하는 다양한 로그를 생성하는 것으로 http, dns, ssh, ssl 등 다양한 통신에 대한 로그를 만들어 남겨준다.
보통 이것만으로는 로그를 보기 힘들기 때문에 ELK나 Splunk 등 SIEM에 연동하여 로그를 기반으로 악성 행위는 없는지 분석하곤 한다. Snort나 Suricata 등의 다른 오픈소스 기반 툴과 연계하는 형태로 자주 사용한다.
다음 가이드를 기반으로 Splunk에 연동을 완료했다고 가정한다.
Zeek Logs
Zeek Log 각각에 대한 간단한 설명과 예시를 담았다.
예시를 기반으로 해당 로그에 어떤 값들이 수집되는지를 살펴보는 것을 추천한다.
주요 로그
가장 기본적인 연결 로그 정보로 Layer 3,4 계층의 정보를 주로 캡쳐한다.
IP, 포트, 프로토콜(TCP/UDP), 서비스(HTTP,DNS..)
uid를 기반으로 같은 통신 로그 상세 정보를 검색할 수 있다.
로그 예시
DNS(Domain Name System) log, DNS 질의에 대한 로그로 Query 값이 가장 중요하다.
로그 예시
DNS 레코드 종류 (qtype_name)
The HyperText Transfer Protocol (HTTP), 가장 위협헌팅에 자주 사용하는 로그로 uri 정보 및 agent 정보 등 참고할 요소가 다양하다.
로그 예시
네트워크 트래픽을 검사하는 동안 관찰한 파일의 기록.
conn.log나 http.log에 fuid 값이 있을 경우 동일한 fuid값으로 검색이 가능하다.
로그 예시
파일 전송 프로토콜(FTP).
passive FTP(port 21), active FTP(port 20) 중에서 대부분 active FTP는 정책에 의해 막히므로 21번 포트(클라이언트가 서버로 포트 연결) 형식을 주로 사용한다.
로그 예시
대부분의 HTTP 트래픽이 이제 암호화되어 HTTPS로 전송된다. Transport Layer Security (TLS)를 사용하여 가장 자주 암호화된다.
암호화된 트래픽의 figerprint를 획득하는 ja3는 애드온을 설치해야만 수집된다.
로그 예시
TLS 연결에 대한 세부 정보를 제공하는 소스로 TLS 통신 중에 교환된 인증서에 대한 세부 정보를 캡처한다.
로그 예시
SMTP (Simple Mail Transfer Protocol)은 인터넷에서 이메일을 보내는 데 사용되는 프로토콜.
로그 예시
SSH(Secure Shell), 원격 접속에 사용되는 프로토콜로 암호화된 터미널 및 파일 전송을 지원한다.
auth_success 값이 true인 경우에만 통신이 성공한 것이고, 인/아웃바운드를 구분한다.
로그 예시
