可轻松处理大量流量日志的网络取证工具——Brim

2023-04-11
4

安全研究人员最近开发了一个开源桌面应用程序——Brim,可以轻松处理非常大的数据包捕获(pcap)文件。该网络取证工具由美国供应商Brim Security开发,并于上个月以开源实用程序形式发布。https://github.com/brimsec/brim

Pcaps提供了用于网络故障排除和安全事件响应的数据,但是这些原始数据文件很容易变得庞大而笨拙。

这个名为Brim的工具提供了一种通过Zeek网络流量分析框架搜索大型数据包捕获和日志的方法。用户可以通过启动Wireshark来搜索日志并从特定流中深入分析数据包。

Brim由多个开源组件构建而成,包括:结构化日志查询引擎zq;用于多平台用户界面的Electron和React;以及从数据包捕获文件生成网络分析数据的Zeek。

Brim Security的创始人Steve McCanne开发了libpcap,并且是tcpdump的作者之一。当被问及开发该工具(Brim)的原理时,麦卡纳表示:

我们希望减少花费任何人(专家级事件响应者和威胁猎人或只是想赢得夺旗大赛的人)寻找有趣时间的时间大数据和日志中的数据。

McCanne指出:

大型安全行动很麻烦,而且细节很多。Zeek日志很好地总结了pcap,但是没有简单的方法可以在桌面上搜索它们,也不能轻松地链接回pcap。Brim在易于使用的桌面应用程序(开放源代码)中加入了这些域,因此任何人现在都可以使用它