可輕松處理大量流量日志的網(wǎng)絡取證工具——Brim
責編:gltian |2020-04-15 16:26:19安全研究人員最近開發(fā)了一個開源桌面應用程序——Brim,可以輕松處理非常大的數(shù)據(jù)包捕獲(pcap)文件。該網(wǎng)絡取證工具由美國供應商Brim Security開發(fā),并于上個月以開源實用程序形式發(fā)布。
(https://github.com/brimsec/brim)
Pcaps提供了用于網(wǎng)絡故障排除和安全事件響應的數(shù)據(jù),但是這些原始數(shù)據(jù)文件很容易變得龐大而笨拙。
這個名為Brim的工具提供了一種通過Zeek網(wǎng)絡流量分析框架搜索大型數(shù)據(jù)包捕獲和日志的方法。用戶可以通過啟動Wireshark來搜索日志并從特定流中深入分析數(shù)據(jù)包。
Brim由多個開源組件構建而成,包括:結構化日志查詢引擎zq;用于多平臺用戶界面的Electron和React;以及從數(shù)據(jù)包捕獲文件生成網(wǎng)絡分析數(shù)據(jù)的Zeek。
Brim Security的創(chuàng)始人Steve McCanne開發(fā)了libpcap,并且是tcpdump的作者之一。當被問及開發(fā)該工具(Brim)的原理時,麥卡納表示:
我們希望減少花費任何人(專家級事件響應者和威脅獵人或只是想贏得奪旗大賽的人)尋找有趣時間的時間大數(shù)據(jù)和日志中的數(shù)據(jù)。
McCanne指出:
大型安全行動很麻煩,而且細節(jié)很多。Zeek日志很好地總結了pcap,但是沒有簡單的方法可以在桌面上搜索它們,也不能輕松地鏈接回pcap。Brim在易于使用的桌面應用程序(開放源代碼)中加入了這些域,因此任何人現(xiàn)在都可以使用它。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧