安全研究人员最近开发了一个开源桌面应用程序——Brim,可以轻松处理非常大的数据包捕获(pcap)文件。该网络取证工具由美国供应商Brim Security开发,并于上个月以开源实用程序形式发布。
(https://github.com/brimsec/brim)
Pcaps提供了用于网络故障排除和安全事件响应的数据,但是这些原始数据文件很容易变得庞大而笨拙。
这个名为Brim的工具提供了一种通过Zeek网络流量分析框架搜索大型数据包捕获和日志的方法。用户可以通过启动Wireshark来搜索日志并从特定流中深入分析数据包。
Brim由多个开源组件构建而成,包括:结构化日志查询引擎zq;用于多平台用户界面的Electron和React;以及从数据包捕获文件生成网络分析数据的Zeek。
Brim Security的创始人Steve McCanne开发了libpcap,并且是tcpdump的作者之一。当被问及开发该工具(Brim)的原理时,麦卡纳表示:
我们希望减少花费任何人(专家级事件响应者和威胁猎人或只是想赢得夺旗大赛的人)寻找有趣时间的时间大数据和日志中的数据。
McCanne指出:
大型安全行动很麻烦,而且细节很多。Zeek日志很好地总结了pcap,但是没有简单的方法可以在桌面上搜索它们,也不能轻松地链接回pcap。Brim在易于使用的桌面应用程序(开放源代码)中加入了这些域,因此任何人现在都可以使用它。