Análise de PCAP com Moloch/Arkime

5 de outubro de 2024 Daniel Donda DFIR, Threat Hunting 0

Trabalhando com cibersegurança muito provavelmente você terá mergulhar na análise de tráfego de rede. Seja quando estiver investigando um incidente de segurança ou fazendo um hunting.

PCAP formato padrão de captura de pacotes

A Arkime (anteriormente Moloch) é uma ferramenta de busca e captura de pacotes indexados de grande escala, de código aberto que permite armazenar e indexar o tráfego de rede no formato PCAP padrão, fornecendo acesso rápido e indexado. Uma interface web intuitiva e simples é fornecida para navegação, pesquisa e exportação de PCAP.

Instalando o Arkime

Eu fiz um laboratório de avaliação usando o mesmo ambiente criado com o Laboratório de segurança cibernética com o DetectionLab pois a maquina de “logger” roda o ubuntu 20.04

git clone https://github.com/arkime/
sudo ./easybutton-build.sh --install

** Tive que executar  “apt-get update –fix-missing” 

make config

O sistema fez a instalação do Elastic automaticamente.

systemctl start elasticsearch.service

Inicialize/atualize a configuração do Elasticsearch Arkime

Primeira instalação:

sudo /opt/arkime/db/db.pl http://localhost:9200 init

Se esta é uma atualização para um pacote moloch/arkime

sudo  /opt/arkime/db/db.pl http://localhost:9200

Adicione um usuário administrador se for uma nova instalação ou após uma inicialização

/opt/arkime/bin/arkime_add_user.sh admin "Usuário Administrador" UmaSenhaSecretaAqui --admin

Inicie os serviços:

sudo systemctl start arkimecapture.service
sudo systemctl start arkimeviewer.service

Se der erro consulte os logs:

  • /opt/arkime/logs/viewer.log
  • /opt/arkime/logs/capture.log

Acesse http://localhost:8005

A página Sessões exibe uma lista de sessões indexadas para o período de tempo selecionado e a expressão de pesquisa. Inclui um gráfico de linha do tempo e um mapa dos resultados da sessão.

A página Conexões mostra um gráfico de rede de seus resultados de pesquisa.

Clique na “coruja” e leia a seção Barra de Pesquisa. A seção Campos também é útil para descobrir campos que você pode usar em uma expressão de pesquisa.

Configurações avançadas

A maior parte da configuração do sistema ocorrerá no arquivo /opt/arkime/etc/config.ini As variáveis estão documentadas em nossa página configurações.

Por exemplo eu habilitei o “uploadCommand” para importar um PCAP e fazer analises.

Alguns recursos importantes

https://malware-traffic-analysis.net/2020/05/28/index.html

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais
Website Facebook Instagram Twitter YouTube Linkedin

Artigos Relacionados

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*