关键网络问题
我于2018年12月7日写下此文,但直到今天才发布。以下是“关键网络问题”,这些问题“无需访问第三方日志存储库即可回答关于网络的许多关键问题。这些数据是通过实时挖掘Zeek日志数据得出的,而不是在第三方存储库中存储和查询Zeek日志。”这是我2018年下半年对Zeek数据的思考方式。
1. 在用户指定的时间间隔内,使用了哪些网络技术?
- 枚举非IP协议(IPv6、不常见的Ethertypes)
- 枚举IPv4和IPv6协议(TCP、UDP、ICMP等)
- 本地IP网络拓扑/寻址方案是什么?
2. 在用户指定的时间间隔内,哪些系统为网络提供核心服务?
- DHCP
- DNS
- NTP
- 域控制器
- 文件共享
- 默认网关(通过DHCP检查或其他方式)
- Web和云服务
3. 在用户指定的时间间隔内,使用了哪些隧道机制?
- IPSec或其他VPN
- SOCKS代理
- Web代理(端口3128)
- 其他代理
4. 在用户指定的时间间隔内,使用了哪些访问服务?
- SSH
- Telnet
- RDP
- VNC
- SMB
- 其他
5. 在用户指定的时间间隔内,使用了哪些文件传输服务?
- SCP或其他启用SSH的文件传输
- FTP
- SMB
- NFS
6. 在用户指定的时间间隔内,进行加密测量
- 使用了哪些加密方法?
- 在用户指定的时间间隔内,网络流量的加密百分比是多少,以及使用了哪种方法?
7. 在用户指定的时间间隔内,进行带宽测量
- 聚合
- 按IP地址
- 按服务
8. 在用户指定的时间间隔内,进行会话跟踪
- 前N个连接对
- 后N个连接对
9. 在用户指定的时间间隔内,进行检测计数
- 提供来自Zeek weird.log的消息计数器
- 提供来自其他Zeek检测日志的消息计数器
10. 对于每个IP地址(或可能的IP-MAC地址配对),在用户指定的时间间隔内,构建包含以下内容的配置文件:
- 首次出现时间、最后出现时间
- 通过DNS、SMB等观察到的名称
- 访问和提供的核心服务
- 使用和提供的隧道机制
- 使用和提供的访问服务
- 使用和提供的文件传输服务
- 加密方法
- 带宽测量
- 前N个和后N个会话跟踪
- 检测计数