Анализируем трафик с ZUI (Zed User Interface)
В этой статье расскажем о сканере ZUI и как с его помощью можно анализировать трафик.
Last updated
В этой статье расскажем о сканере ZUI и как с его помощью можно анализировать трафик.
Last updated
Работает на движе ZED, который написан на Go и состоит различных элементов. Чаще его сравнивают с Wireshark. И тут есть несколько принципиальных позитивных отличий: скорость работы, поддержка сигнатур и анализ логов.
Но есть и недостатки: не умеет декодировать пакеты и экспортировать найденные в трафике файлы.
Выполняем команды:
Важно: не забудьте изменить версию в команде, чтобы установить самый последний релиз.
Тут достаточно скачать с официального страницы файл установки.
Нужно найти в логах необходимые поля и отфильтровать по ним логи. После строка запроса будет обрастать новыми и новыми условиями поиска.
Примеры запросов поиска
Количество каждой категории тегов:
Все уникальные DNS queries:
SMB- и RPC-трафик в системах Windows:
HTTP-запросы и фильтрация полезных колонок:
Уникальные коннекты и их количество:
Количество переданных байтов на один коннект:
Поиск передаваемых файлов:
Все запросы HTTP Post:
Все IP-подсети:
Демонстрация всех срабатываний сигнатур Suricata и их количество:
Демонстрация всех срабатываний сигнатур Suricata, отфильтрованных по Source IP и Destination IP: