关键网络问题
我于2018年12月7日撰写此文,但直到今日才发布。以下是"关键网络问题",这些问题"将回答关于网络的许多关键问题,而无需访问第三方日志存储库。这些数据来源于在创建时挖掘Zeek日志数据,而不是在第三方存储库中存储和查询Zeek日志"。
这是我在2018年下半年对Zeek数据的思考方式。
1. 在使用哪些网络技术,在用户指定的时间间隔内?
- 枚举非IP协议(IPv6、不常见的以太网类型)
- 枚举IPv4和IPv6协议(TCP、UDP、ICMP等)
- 本地IP网络拓扑/寻址方案是什么?
2. 哪些系统正在向网络提供核心服务,在用户指定的时间间隔内?
- DHCP
- DNS
- NTP
- 域控制器
- 文件共享
- 默认网关(通过DHCP检查等)
- Web和云服务
3. 在使用哪些隧道机制,在用户指定的时间间隔内?
- IPSec或其他VPN
- SOCKS代理
- Web代理(端口3128)
- 其他代理
4. 在使用哪些访问服务,在用户指定的时间间隔内?
- SSH
- Telnet
- RDP
- VNC
- SMB
- 其他
5. 在使用哪些文件传输服务,在用户指定的时间间隔内?
- SCP或其他支持SSH的文件传输
- FTP
- SMB
- NFS
6. 加密测量,在用户指定的时间间隔内
- 正在使用哪些加密方法?
- 在用户指定的时间间隔内,网络流量的加密百分比是多少,以及使用哪种方法?
7. 带宽测量,在用户指定的时间间隔内
- 聚合
- 按IP地址
- 按服务
8. 会话跟踪,在用户指定的时间间隔内
- 前N个连接对
- 后N个连接对
9. 检测计数,在用户指定的时间间隔内
- 提供来自Zeek weird.log消息的计数器
- 提供来自其他Zeek检测日志消息的计数器
10. 对于每个IP地址(或可能的IP-MAC地址配对),在用户指定的时间间隔内,构建包含以下内容的配置文件:
- 首次出现,最后出现
- 通过DNS、SMB等观察到的名称
- 访问和提供的核心服务
- 使用和提供的隧道机制
- 使用和提供的访问服务
- 使用和提供的文件传输服务
- 加密方法
- 带宽测量
- 前N个和后N个会话跟踪
- 检测计数