๋ง์ง๋ง ์ค์ํ ์ง์ ์ด ์ค๋ฆฝ๋ ์ง 7๋
ํ
Zeek๋ ์ฃผ๋ก ๋ณด์ ์ด๋ฒคํธ ๋ชจ๋ํฐ๋ง์ ์ค์ ์ ๋์ง๋ง ์ด์ ๊ตญํ๋์ง ์๋ ํธ๋ํฝ ๋ถ์ ํ๋ซํผ์ ๋๋ค. ๋ค์ํ ์ ํ๋ฆฌ์ผ์ด์ ์์ค ๋คํธ์ํฌ ํ๋กํ ์ฝ์ ๋ถ์ํ๊ณ ๊ตฌ๋ฌธ ๋ถ์ํ์ฌ ์ฐ๊ฒฐ ์ํ๋ฅผ ๊ณ ๋ คํ๊ณ ๋คํธ์ํฌ ํ๋์ ๋ํ ์์ธํ ๋ก๊ทธ(์์นด์ด๋ธ)๋ฅผ ์์ฑํ ์ ์๋ ๋ชจ๋์ด ์ ๊ณต๋ฉ๋๋ค. ํน์ ์ธํ๋ผ์ ํน์ฑ์ ๊ณ ๋ คํ์ฌ ๋ชจ๋ํฐ๋ง ์คํฌ๋ฆฝํธ๋ฅผ ์์ฑํ๊ณ ์ด์ ํ์์ ์๋ณํ๊ธฐ ์ํด ๋๋ฉ์ธ๋ณ ์ธ์ด๊ฐ ์ ์๋์์ต๋๋ค. ์ด ์์คํ ์ ๊ณ ๋์ญํญ ๋คํธ์ํฌ์์ ์ฌ์ฉํ๋๋ก ์ต์ ํ๋์์ต๋๋ค. ํ์ฌ ์ ๋ณด ์์คํ ๊ณผ์ ํตํฉ ๋ฐ ์ค์๊ฐ ๋ฐ์ดํฐ ๊ตํ์ ์ํด API๊ฐ ์ ๊ณต๋ฉ๋๋ค.
ะ
- NTP ํ๋กํ ์ฝ์ฉ ๋ถ์๊ธฐ๊ฐ ์์ ํ ๋ค์ ์์ฑ๋์์ผ๋ฉฐ MQTT์ฉ ์ ๋ถ์๊ธฐ๊ฐ ์ถ๊ฐ๋์์ต๋๋ค. DNS, RDP, SMB ๋ฐ TLS์ ๋ํ ๋ถ์๊ธฐ ๊ธฐ๋ฅ์ด ํ์ฅ๋์์ต๋๋ค. DNS์ ๊ฒฝ์ฐ SPF ๋ ์ฝ๋ ๊ตฌ๋ฌธ ๋ถ์์ด ์ ๊ณต๋๊ณ DNSSEC์ ๊ฒฝ์ฐ RRSIG, DNSKEY, DS, NSEC ๋ฐ NSEC3 ๋ฐ ์ด์ ๊ด๋ จ๋ ์ด๋ฒคํธ ์ ํ์ด ์ ๊ณต๋ฉ๋๋ค. SMB ๋ถ์๊ธฐ์ SMB 3.x ํ๋กํ ์ฝ์ ๋ํ ์ง์๊ณผ TLS์ฉ TLS 1.3์ ๋ํ ์ง์์ด ์ถ๊ฐ๋์์ต๋๋ค.
- VXLAN ํฐ๋ ๋ด๋ถ์์ ์ ์ก๋๋ ์คํธ๋ฆผ์ ์บก์ํ ํด์ ์ง์์ด ๊ตฌํ๋์์ต๋๋ค.
- NFLOG ์ ํ์ ๋งํฌ์ ๋ํ ์ง์์ด ์ถ๊ฐ๋์์ต๋๋ค.
- UTF8 ์ธ์ฝ๋ฉ์ผ๋ก ๋ก๊ทธ์ ์ถ์ถ๋ ๋ฐ์ดํฐ๋ฅผ ์ ์ฅํ๋ ๊ธฐ๋ฅ์ด ์ถ๊ฐ๋์์ต๋๋ค.
- ์ต๋ช ํจ์์ ๋ํ ํด๋ก์ ์ง์์ด ์คํฌ๋ฆฝํ ์ธ์ด์ ์ถ๊ฐ๋์๊ณ , ํค-๊ฐ ํ์(โfor (key, value in t)โ)์ผ๋ก ํ ์ด๋ธ์ ์ด๊ฑฐํ๊ธฐ ์ํ ์ฐ์ฐ์๊ฐ ์ถ๊ฐ๋์์ผ๋ฉฐ, Python ์คํ์ผ ๋ฒกํฐ ๋ถ๋ฆฌ ์ฐ์ฐ์ด ๊ตฌํ๋์์ต๋๋ค. (โv[2:4]โ), ๋๊ท๋ชจ ๋ฐ์ด๋๋ฆฌ ๋ฐ์ดํฐ ์ธํธ์์ ๋ฌธ์์ด ๋ง์คํฌ์ ๋น ๋ฅธ ๋งค์นญ์ ์ํด ์๋ก์ด ๊ตฌ์กฐ์ธ paraglob์ด ์ ์๋์์ต๋๋ค.
- ํ์ผ ๊ฒฝ๋ก, ์ค์ , ํจํค์ง, ์คํฌ๋ฆฝํธ, ๋ค์์คํ์ด์ค ๋ฐ ํจ์์์ "bro"๋ผ๋ ์ด๋ฆ์ ๋ํ ๋ชจ๋ ์ฐธ์กฐ๋ "zeek"(์ด์ ๋ฒ์ ๊ณผ์ ํธํ์ฑ์ ์ํด ์ ์ง๋๋ ์ด์ ์ด๋ฆ์ ๋ํ ์ง์)๋ก ๋์ฒด๋์์ต๋๋ค. bro-pkg ํจํค์ง ๊ด๋ฆฌ์์ ์ด๋ฆ์ด zkg๋ก ๋ณ๊ฒฝ๋์์ต๋๋ค.
์ถ์ฒ : opennet.ru