Анализируем трафик с ZUI (Zed User Interface)

Что такое ZUI

Работает на движе ZED, который написан на Go и сос­тоит различных эле­мен­тов. Чаще его сравнивают с Wireshark. И тут есть несколько принципиальных позитивных отличий: ско­рость работы, под­дер­жка сиг­натур и ана­лиз логов.

Но есть и недостатки: не умеет декоди­ровать пакеты и экспор­тировать най­ден­ные в тра­фике фай­лы.

Установка ZUI на Linux

Выполняем коман­ды:

wget "https://github.com/brimdata/brim/releases/download/v0.31.0/Brim-0.31.0.deb"
sudo chmod +x ./Brim-0.31.0.deb; apt install ./Brim-0.31.0.deb

Важно: не забудьте изменить вер­сию в коман­де, что­бы установить самый последний релиз.

Установка ZUI на Windows и macOS

Тут дос­таточ­но ска­чать с офи­циаль­ного страницы файл установки.

Как использовать ZUI

Нужно найти в логах необходимые поля и отфиль­тро­вать по ним логи. После стро­ка зап­роса будет обрастать новыми и новыми усло­виями поис­ка.

Примеры зап­росов поис­ка

Ко­личес­тво каж­дой катего­рии тегов:

Все уни­каль­ные DNS queries:

SMB- и RPC-тра­фик в сис­темах Windows:

HTTP-зап­росы и филь­тра­ция полез­ных колонок:

Уни­каль­ные кон­некты и их количес­тво:

Ко­личес­тво передан­ных бай­тов на один кон­нект:

По­иск переда­ваемых фай­лов:

Все зап­росы HTTP Post:

Все IP-под­сети:

Де­монс­тра­ция всех сра­баты­ваний сиг­натур Suricata и их количес­тво:

Де­монс­тра­ция всех сра­баты­ваний сиг­натур Suricata, отфиль­тро­ван­ных по Source IP и Destination IP: