Brim

Adeesha
Written by Adeesha on
Brim

පරිගණක ආරක්ෂාව ගැන කතාකරද්දි වගේම නෙට්වර්ක් ඇඩ්මින් පැත්ත ගැන කථා කරනකොටත් අපිට මග අරින්නම බැරි මාතෘකාවක් තමයි පැකට් ඇනලයිස් කරන එක. නෙට්වර්ක් එකක එහෙ මෙහෙ යන පැකට් අල්ලගෙන රෙකෝඩ් කරලා තියාගන්න එක එක ක්‍රම පාවිච්චි කරනව. මේ අතර PCAP, Zeek සහ NetFlow කියල ප්‍රකට ක්‍රම තුනක් තියනව.

  • NetFlow - සිස්කො සමාගම විසින් නිර්මාණය කරපු ප්‍රොටොකෝල් එකක්. මේකෙන් නෙට්වර්ක් එකක ක්‍රියාකාරීත්වය මොනිටර් කරන්න සහ ඒ දත්ත එකතු කරන්න පුළුවන්. හැබැයි මේකෙන් නෙට්වර්ක් එකේ යන හැම දත්තයක් ගැනම විස්තර එකතු කරල තියාගන්නෙ නෑ. නෙට්වර්ක් එකේ ක්‍රියාකාරීත්වය ගැන තොරතුරු ගන්න විතරක් හදපු ක්‍රමයක්.

  • Zeek - මේක විවෘත හා නිදහස් මෘදුකාංගයක්. මේකෙන් නෙට්වර්ක් එකක වෙන ගොඩක් දේවල් මොනිටර් කරන්න වගේම විශ්ලේෂණය කරන්නත් පුළුවන්. මේකෙන් NetFlow වලට වඩා ගොඩක් දත්ත ලබාගන්න පුළුවන්.

  • PCAP - නෙට්වර්ක් එකේ, එහෙමත් නැත්තං ටාගට් කරන කේබල් එකේ යන හැම දත්තයක්ම රෙකෝඩ් කරන ක්‍රමයක් තමයි මේක. මේ කැප්චර් ෆයිල් ඉතාම විශාල වෙන්න පුළුවන්. හැබැයි මේකෙන් ගන්න පුළුවන් තොරතුරු වල කෙළවරක් නං නැති තරං.

මේවට අමතරව USB කේබල් හරහා යන දත්ත, රැහැන් රහිත ක්‍රම වලින් යවන දත්ත එහෙම කැප්චර් කරන්නත් වෙනම සොෆ්ට්වෙයා තියනව. USBPcap කියන්නෙ එහෙම එකක්.

අපි උඩ කියපු PCAP ෆයිල් ඇනලයිස් කරන්න තියන හොඳම වගේම බොහොම පවර්ෆුල් සොෆ්ට්වෙයා එකක් තමයි Wireshark කියන්නෙ. සමහරු මේක හැකින් ටූල් එකක් කියල වැරදි වැටහීමක් ඇතිකරගෙන ඉන්නව. හැකින් වල තියන Information gathering කියන කොටස කරන්න පාවිච්චි කරන්න පුළුවන් බොහොම බලවත් ටූල් එකක් හැටියට Wireshark සලකනව. හැබැයි Wireshark කියන්නෙ පැකට් ඇනලයිස් කරන්න තියන හොඳම ටූල් එක. මේක හරියට ස්විස් ආමි පිහියක් වගේ. හොඳට වගේම නරකටත් පාවිච්චි කරන්න පුළුවන්. Wireshark වල තියන ෆිල්ටර්, ඇනලයිසින්ග් ටූල්ස් වගේ දේවල් පාවිච්චි කරල යම් කාලසීමාවක් තුල නෙට්වර්ක් එකේ වෙච්ච හැම සිදුවීමක්ම බලාගන්න පුළුවන්.

දැන් Brim මොකටද මේ අස්සට එන්නෙ?

අපි උඩ කිවුව නේ PCAP ෆයිල් එකක නෙට්වර්ක් එකේ යම් කාලයක් තුල හුවමාරු වෙච්ච හැම දත්තයක්ම තියනව කියල. ඉතින් මේ PCAP ෆයිල් සෑහෙන්න ලොකු වෙන්න ඉඩ තියනව. සමහර වෙලාවට ගිගාබයිට් ගානක් වෙන්න පුළුවන්. මේ තරං ලොකු ෆයිල් එකක් Wireshark වලින් ඇනලයිස් කරන එක වෙලාව යන වගේම කරදරකාරී වැඩක්. විවිධ ෆිල්ටර් සියගානක් එක්ක වැඩකරන්න ලේසි නෑ. මෙන්න මේ ප්‍රශ්නයට උත්තරයක් හැටියට තමයි Brim එන්නෙ. Brim මුලින්ම හදන්නෙ Zeek වලට. (Zeek සහ Brim හදපු දෙන්න හොඳ යාළුවො) හැබැයි Brim PCAP ෆයිල් වලටත් සපෝට් කරනව. Brim ට පුළුවන් මේ PCAP ෆයිල් වලින් වැදගත් තොරතුරු අරගන ලස්සනට පිළිවෙලකට හදල ඉදිරිපත් කරන්න.

Brim

Brim කියන්නෙ වයර්ශාක් වගේම විවෘත හා නිදහස් මෘදුකාංගයක්. ඔවුන්ගේ වෙබ් අඩවියෙන් නොමිලේම ලබාගන්න පුළුවන්. මේ මෘදුකාංගය පරිගණකයේ ඉන්ස්ටෝල් කරාට පස්සෙ අපිට තියෙන්නෙ අපිට අවශ්‍ය PCAP ෆයිල් එක Brim වලට ඇදල දාන එක විතරයි.

Wireshark

Wireshark වල PCAP ෆයිල් එකක් ඕපන් කරහම තියන විදිහ

Brim

Brim වලින් PCAP ෆයිල් එකක් ඕපන් කරහම තියන විදිහ

ඉහල තියන Brim වල ඕපන් කරපු එක දිහා බැලුවහම අපිට ගොඩක් තොරතුරු ඉතාම පහසුවෙන් බලාගන්න පුළුවන්. සාමාන්‍ය බ්‍රවුසර් එකක වගේ ටැබ් කිහිපයක් ඕපන් කරගෙන එකම ෆයිල් එක හෝ විවිධ ෆයිල් කිහිපයක් එකවර ඇනලයිස් කරන්න පුළුවන්.

වම් පැත්තෙ තියන තියන ඩිෆෝල්ට් queries පාවිච්චි කරල අපිට බලන්න අවශ්‍ය දත්ත තෝරගන්න පුළුවන්.

Brim queries

අපිට අවශ්‍ය දත්තයක් තෝරල, ඒ උඩ රයිට්ක්ලික් කරල ඒ තේරීම ෆිල්ටර් එකක් හැටියටත් පාවිච්චි කරන්න පුළුවන්. ඒ වගේම අපිට අවශ්‍ය විදිහට ෆිල්ටර් පාවිච්චි කරන්නත් පුළුවන්. මේ වැඩේට පාවිච්චි කරන්නෙ ZQL කියන විශේෂ query language එක.

Brim click

Brim click

නෙට්වර්ක් එක තුල හුවමාරුවෙලා තියන ෆයිල් වල හෑෂ් අගය උඩ රයිට්ක්ලික් කරල ඒ අගයෙන් VirusTotal වෙබ් අඩවියෙන් ඒ ෆයිල් එක ගැන විස්තර බලන්න පුළුවන්. විශේෂයන්ම වයිරස් එකක්ද වගේ තොරතුරු.

Brim click

තොරතුරු වල පෙන්වන IP එකක, වෙබ් ඇඩ්රස් එකක තොරතුරු පවා දැනගන්න පුළුවන්.

Brim click

මේ Brim වල තියන මුලික හැකියාවල් ටිකක් විතරයි. මීට අමතරව Brim වලින් පෙන්නන තොරතුරු වලට අදාළ පැකට් විතරක් වයර්ශාක් හරහා විවෘතකරල ඇනලයිස් කරන්නත් පහසුකම් තියනව.

පාවිච්චි කරල, අධ්‍යනය කරල ඉගනගන්න වටිනා මෘදුකාංගයක්. විශේෂයෙන්ම පරිගණක ආරක්ෂාව, ජාල ආරක්ෂාව ගැන උනන්දු කෙනෙක්ට වටින මෘදුකාංගයක්.

Reference

Brim

Image Credits

Cover Image

Comments

comments powered by Disqus