Recientemente traté interactuar con uno de mis sensores cebolla Seguridad laboratorio que realice el Suricata IDS. He encontrado el servidor Sguil estaba tomando un tiempo muy largo para ofrecer servicios en el puerto TCP 7734. Como yo no había trabajado con este sistema de laboratorio por un tiempo, supuse que podría haber demasiados eventos categorizados en la base de datos Sguil. Desempolvé un viejo post titulado Más Snort y Sguil Sintonía de 2006 y di un vistazo al sistema.
Primero dejé de las aplicaciones de NSM en el servidor.
sudo service stop nsm
Detención: securityonion
* parar: Servidor sguil [OK] />
* parar: ossec_agent (sguil) [OK ]
Detención: Bro
detener ds61so-eth1-1 ...
parar de proxy ...
detener gerente ...
Detención: ds61so-eth1
* parar: netsniff-ng (total de datos por paquetes) [OK]
* parar: pcap_agent (sguil) [OK]
* parar: snort_agent (sguil) [OK]
* parando : suricata (datos de alerta) [OK]
* parar: barnyard2 (cola de impresión, formato unified2) [OK]
* parar: Prads (sesiones / activos) [OK]
* parar: sancp_agent (sguil) [OK]
* parar: pads_agent (sguil) [OK]
* parar: argus [OK]
* parar: http_agent (sguil)
Luego me encontré con una consulta para buscar los eventos no categorizados superiores.
$ mysql-uroot
Bienvenidos a la MySQL monitor. Comandos termina con, o g
Su conexión MySQL id es 1639
Versión del servidor:. 5.5.29-0ubuntu0.12.04.1 (Ubuntu) />
Oracle es una marca comercial registrada de Oracle Corporation y / o sus
afiliados. Otros nombres pueden ser marcas comerciales de sus respectivos propietarios />
Tipo. 'Ayuda;' o ' h' para obtener ayuda. . Type ' c' para borrar la cuenta de entrada de corriente
mysql> use securityonion_db;
Leyendo la información de la tabla para la finalización de tabla y de columna
Puede desactivar esta función para conseguir un inicio rápido /> Database cambió con-A
mysql> SELECT COUNT (firma) como cuenta, firma DESDE DONDE evento status = 0 GROUP BY firma ORDER BY count DESC LIMIT 20;
+ --------- + --------------------------------- ------------------------------------------------- +
| recuento | Firma |
+ --------- + -------------------------- -------------------------------------------------- ------ +
| 2299160 | SURICATA flujo de paquetes con acuse de recibo válido |
| 2298505 | ARROYO SURICATA ESTABLECIDO ack inválida |
| 1777530 | ARROYO SURICATA ESTABLECIDO paquetes fuera de la ventana |
| 38700 | ARROYO SURICATA ESTABLECIDO paquete retransmisión penúltimo ack |
| 24181 | SURICATA CORRIENTE TIMEWAIT ACK con ss malo |
| 5430 | ET POLÍTICA GNU / Linux APT User-Agent de salida probablemente relacionado con gestión de paquetes |
| 3160 | SURICATA CORRIENTE Última ACK con ss equivocado |
| 753 | ET POLÍTICA Dropbox.com Backup Remoto Archivo en uso |
| 637 | SURICATA HTTP error desconocido |
| 626 | RST CIERRE CORRIENTE SURICATA ack inválida |
| 505 | SURICATA CORRIENTE FIN1 FIN con ss malo |
| 494 | SURICATA HTTP campo de petición demasiado tiempo |
| 448 | POLÍTICA ET descargar archivo PE EXE o DLL de Windows |
| 315 | Malvertiser ET RBN Conocido IP (22) |
| 270 | Agente de Usuario POLÍTICA ET iTunes |
| 266 | SURICATA CORRIENTE CLOSEWAIT ACK de Ventana |
| 237 | ET INFO EXE IsDebuggerPresent (Utilizado en Malware Anti-depuración) |
| 219 | dispositivo ET POLÍTICA móvil Apple fugas UDID del SpringBoard |
| 217 | 3way CORRIENTE SURICATA apretón de manos con acuse de recibo en dir mal |
| 151 | SURICATA CORRIENTE FIN2 FIN con ss malo |
+ --------- + -------------- -------------------------------------------------- ------------------ +
20 filas en el conjunto (15,24 segundos)
Wow, eso es una gran cantidad de eventos de flujo Suricata. Necesito categorizarlos como no-problemas para recuperar el servidor Sguil.
mysql> Actualizar estado del evento SET = 1, LAST_MODIFIED = '2013-02-24 16:26:00 ', LAST_UID =' sguil 'DONDE event.status = 0 y event.signature LIKE 'SURICATA CORRIENTE%';
Query OK, 6443375 filas afectadas, 65.535 advertencias (3 min 4.89 sec)
filas coincidentes: 6443375 Cambiado: 6443375 Advertencias: 6443375
Vamos a ver lo la base de datos cree ahora.
mysql> SELECT COUNT (firma) como cuenta, firma DESDE DONDE evento status = 0 GROUP BY firma ORDER BY DESC LIMIT cuenta 20;
+------+-----------------------------------------------------------------------------------------+
| Cnt | Firma |
+------+-----------------------------------------------------------------------------------------+
| 5430 | ET POLÍTICA GNU / Linux APT User-Agent de salida probablemente relacionados con el paquete de gestión |
| 753 | ET POLÍTICA Dropbox.com Backup Remoto Archivo en uso |
| 637 | SURICATA HTTP error desconocido |
| 494 | SURICATA HTTP campo de petición demasiado tiempo |
| 448 | descargar archivo ET POLÍTICA PE EXE o DLL de Windows |
| 315 | ET RBN Conocido Malvertiser IP (22) |
| 270 | Agente POLÍTICA ET iTunes del usuario |
| 237 | ET INFO EXE IsDebuggerPresent (Utilizado en Malware Anti-depuración) |
| 219 | dispositivo ET POLÍTICA móvil Apple fugas UDID del SpringBoard |
| 133 | ET INFO PDF Utilizando CCITTFax Filtro |
| 106 | Uso de ET POLÍTICA Pandora |
| 97 | ET CHAT Facebook Chat (lista de amigos) |
| 93 | Mobile de ET dispositivo de Apple con fugas UDID del SpringBoard través de GET |
| 58 | Host ET política interna Recuperando IP externa mediante whatismyip.com - Infección Posible |
| 41 | PADS Nueva activos - ssl TLS 1.0 Client Hola |
| 39 | cabecera de respuesta HTTP SURICATA inválida |
| 39 | ET CURRENT_EVENTS Exploit Kit llevar contenido Flash comprimido al Cliente |
| 36 | Agente ET POLÍTICA Python-urllib / sospechoso del usuario |
| 36 | ET MALWARE Posible de Windows ejecutable enviado al host remoto afirma que enviar un archivo de texto |
| 28 | POLÍTICA ET Http Client cuerpo contiene PW = sin cifrar por |
+------+-----------------------------------------------------------------------------------------+
20 rows in set (0.03 sec)
Esto es mucho mejor.
Antes de reiniciar los servicios de NSM, edito el archivo autocat.conf añadir lo siguiente.
Ninguna | | NINGUNA | | NINGUNA | | NINGUNA | | NINGUNA | | NINGUNA | | NINGUNA | |%%%% ^ REGEXP CORRIENTE SURICATA | | />
Este auto voluntad a clasificar las alertas STREAM SURICATA como no-problemas. Quiero seguir añadiendo eventos a la base de datos con fines de prueba, pero yo no quiero verlos en la consola.
Ahora vuelvo a poner los servicios de NSM.
servicio sudo />
nsm inicio inicio: securityonion
* partida: Servidor sguil [OK] />
* partida: ossec_agent (sguil) [OK ]
inicio: Bro
partir gerente ...
partir de proxy ...
partir ds61so-eth1-1 ...
inicio: ds61so-eth1
* de partida: netsniff-ng (de paquete de datos completo) [OK]
* partida: pcap_agent (sguil) [OK]
* partida: snort_agent (sguil) [OK]
* partida : suricata (datos de alerta) [OK]
* partida: barnyard2 (cola de impresión, formato unified2) [OK]
* partida: Prads (sesiones / activos) [OK]
* partida: pads_agent (sguil) [OK]
* partida: sancp_agent (sguil) [OK]
* partida: argus [OK]
* partida: http_agent (sguil) [OK]
* espacio de disco actualmente en el 22%
I compruebe si el puerto 7734 TCP está escuchando.
sudo netstat-natup | grep tcp /> 7734
Ahora el servidor Sguil está escuchando. Puedo conectar con un cliente Sguil, incluso el de 64 bits de Windows. Exe que me acabo de enterar esta mañana. Compruébelo usted mismo en sourceforge.net / projects / sguil /
Tweet