「NWフォレンジックにおける活用事例」 メモ
ネットワークフォレンジックとは?
デジタル・フォレンジックの一つ。
パケットデータを収集し、攻撃検知などを行うこと
攻撃者はログを消すので、ネットワークフォレンジックを使い、ログを残す。
パケットキャプチャ
エンドポイントでキャプチャ
- サーバ上でTCPダンプを叩く。
- サーバのリソースを使うので本番運営はやめたほうが…
ネットワーク経路上からミラーリング
- ネットワークからタップやL2スキャンを行い、キャプチャサーバへログを流す
- 長時間キャプチャが必要なネットワークフォレンジックはこちらがよい
Moloch + ElasticSearch
- Moloch:パケットの解析
- ElasticSearch:検索
便利!
Moloch
コンポーネント
- Capture
- パケット解析
- ESにデータの格納
- WISE
- logstashとの連携
- Viewer
- Web UI
- ElasticSearch
- 検索
MolochはキーワードでElasticSearchに格納され、Molochが管理する。
→全文検索ができない
スケールアウトができる
ElasticSearchと分けて三台構成がおすすめ。
マルチクラスタ構成
クラスタをまたいでの検索が可能
MolochはC言語
C言語で拡張が可能
ナレッジ
Molochを導入するために考えること
- どのレイヤを解析したい?
- MolochはL3~L7
- Molochはセッションからデータを取得
- 何が目的なのか
- フルパケットキャプチャならMolochがおすすめ
- 統計情報だけなら別のサービスのほうがいいかも?
- pcapファイルとメタデータの保存を分けて考える
- 一台構成でいいので、必ず実トラフィックで検証を行う
実際に気をつけること
- swapは無効化
- キャプチャーIFのNICオプションを無効化する
- db.plを使ってESを初期化する
- レプリカの設定を忘れない
- デフォルトではなしになっている
キャプチャに関して
LIB PCAPを通常使うが、MolochはT Packet V3を利用することを推奨
ディスクIO
書き込みで処理落ちして、データが漏れる
↓
Simple node directを設定する事によって、書き込み性能の問題を緩和できる。
が、書き込み性能の良いSSDを使うのが良い。