security onion extract.bro 수정

pfsense 방화벽/vlan/프록시

보안양파 snort/elsa

 

로그들을 통합적으로 묶어서 관리하기 편하게 하나로 묶는게최종 목표이다

 

 

ESM

 

 

 

 

 

 

 

우리가 설치한

 

pfsense

centos(vlan20_office)

security onion 

 

3개를 일단킨다

 

 

 

 

 

 

 

 

 

elsa를 들어간다

 

 

bro에서 다양한 파일들을 추출해 내는 것을 한다.

 

 

 

 

 

 

 

 

 

 

cd /opt/bro/share/bro/site

 

(teminal 창에 들어간뒤에 security onion 에서)

 

 

 

 

 

 

 

sudo vi local.bro

 

내리다보면

 

 

# File Extraction 

@load file-extraction

 

(두개의 의미는 = File Extraction 폴더에 존재하는 모든것을 불러온다)

 

 

 

 

 

 

 

cd /opt/bro/share/bro  (이 파일의 위치는 여기와 연결되있는 부분이다.)

 

 

 

fire-extratin       디렉토리 가존재한다

윈도우=폴더 /리눅스= 디렉토리

 

 

 

 

 

 

 

cd file-extraction

 

 

 

여기있는 파일을 불러온다

 

 

 

 

sudo vi extract.bro

 

 

 

코드가 많은것을 볼수가있다.

 

 

 

 

 

이부분을 

->

# if( !meta?$mime_type || meta$mime_type != "application/x-dosexec")

 

주석처리하고 밑에다 새로운 코드 작성

 

if( !meta?$mime_type || meta$mime_type !in ext_map)

 

exe파일만 추출하는게 전역변수로되있는 exe_map을 전부추출을하겠다.

 

 

 

:wq!  (저장명령어 참고로 sudo 안하고 vi 키면 저장안될수도있다.)

 

 

 

 

 

 

 

sudo nsm_sensor_ps-restart --only-bro           ( 재시작)

 

 

 

 

 

 

 

 

이제 centos(vlan20_office)에서 확인을해본다

firefox를 들어가서

테스트를 해보게 아무파일이나 저장을한다

 

 

 

 

 

 

(security onion에서)

 

 

cd /nsm/bro/extracted

ls -al

계속해서생긴다

 

내가웹서핑을했을떄 지나다니는것들이

전부 생기는것을 알수있습니다.

 

 

 

 

 

===================================

 

 

 

 

 

 

 

next

 

=================================

 

 

 

cd /opt/bro/share/bro/file-extraction

sudo vi extract.bro

 

 

 

 

 

 

 

i를눌러서 수정

 

 

["application/pdf"] = "pdf",

 

추가

 

esc

:wq!

 

 

 

 

sudo nsm_sensor_ps-restart --only-bro  (재시작)