පරිගණක ආරක්ෂාව ගැන කතාකරද්දි වගේම නෙට්වර්ක් ඇඩ්මින් පැත්ත ගැන කථා කරනකොටත් අපිට මග අරින්නම බැරි මාතෘකාවක් තමයි පැකට් ඇනලයිස් කරන එක. නෙට්වර්ක් එකක එහෙ මෙහෙ යන පැකට් අල්ලගෙන රෙකෝඩ් කරලා තියාගන්න එක එක ක්‍රම පාවිච්චි කරනව. මේ අතර PCAP, Zeek සහ NetFlow කියල ප්‍රකට ක්‍රම තුනක් තියනව.

• NetFlow - සිස්කො සමාගම විසින් නිර්මාණය කරපු ප්‍රොටොකෝල් එකක්. මේකෙන් නෙට්වර්ක් එකක ක්‍රියාකාරීත්වය මොනිටර් කරන්න සහ ඒ දත්ත එකතු කරන්න පුළුවන්. හැබැයි මේකෙන් නෙට්වර්ක් එකේ යන හැම දත්තයක් ගැනම විස්තර එකතු කරල තියාගන්නෙ නෑ. නෙට්වර්ක් එකේ ක්‍රියාකාරීත්වය ගැන තොරතුරු ගන්න විතරක් හදපු ක්‍රමයක්.

• Zeek - මේක විවෘත හා නිදහස් මෘදුකාංගයක්. මේකෙන් නෙට්වර්ක් එකක වෙන ගොඩක් දේවල් මොනිටර් කරන්න වගේම විශ්ලේෂණය කරන්නත් පුළුවන්. මේකෙන් NetFlow වලට වඩා ගොඩක් දත්ත ලබාගන්න පුළුවන්.

• PCAP - නෙට්වර්ක් එකේ, එහෙමත් නැත්තං ටාගට් කරන කේබල් එකේ යන හැම දත්තයක්ම රෙකෝඩ් කරන ක්‍රමයක් තමයි මේක. මේ කැප්චර් ෆයිල් ඉතාම විශාල වෙන්න පුළුවන්. හැබැයි මේකෙන් ගන්න පුළුවන් තොරතුරු වල කෙළවරක් නං නැති තරං.

මේවට අමතරව USB කේබල් හරහා යන දත්ත, රැහැන් රහිත ක්‍රම වලින් යවන දත්ත එහෙම කැප්චර් කරන්නත් වෙනම සොෆ්ට්වෙයා තියනව. USBPcap කියන්නෙ එහෙම එකක්.

අපි උඩ කියපු PCAP ෆයිල් ඇනලයිස් කරන්න තියන හොඳම වගේම බොහොම පවර්ෆුල් සොෆ්ට්වෙයා එකක් තමයි Wireshark කියන්නෙ. සමහරු මේක හැකින් ටූල් එකක් කියල වැරදි වැටහීමක් ඇතිකරගෙන ඉන්නව. හැකින් වල තියන Information gathering කියන කොටස කරන්න පාවිච්චි කරන්න පුළුවන් බොහොම බලවත් ටූල් එකක් හැටියට Wireshark සලකනව. හැබැයි Wireshark කියන්නෙ පැකට් ඇනලයිස් කරන්න තියන හොඳම ටූල් එක. මේක හරියට ස්විස් ආමි පිහියක් වගේ. හොඳට වගේම නරකටත් පාවිච්චි කරන්න පුළුවන්. Wireshark වල තියන ෆිල්ටර්, ඇනලයිසින්ග් ටූල්ස් වගේ දේවල් පාවිච්චි කරල යම් කාලසීමාවක් තුල නෙට්වර්ක් එකේ වෙච්ච හැම සිදුවීමක්ම බලාගන්න පුළුවන්.

දැන් Brim මොකටද මේ අස්සට එන්නෙ?

අපි උඩ කිවුව නේ PCAP ෆයිල් එකක නෙට්වර්ක් එකේ යම් කාලයක් තුල හුවමාරු වෙච්ච හැම දත්තයක්ම තියනව කියල. ඉතින් මේ PCAP ෆයිල් සෑහෙන්න ලොකු වෙන්න ඉඩ තියනව. සමහර වෙලාවට ගිගාබයිට් ගානක් වෙන්න පුළුවන්. මේ තරං ලොකු ෆයිල් එකක් Wireshark වලින් ඇනලයිස් කරන එක වෙලාව යන වගේම කරදරකාරී වැඩක්. විවිධ ෆිල්ටර් සියගානක් එක්ක වැඩකරන්න ලේසි නෑ. මෙන්න මේ ප්‍රශ්නයට උත්තරයක් හැටියට තමයි Brim එන්නෙ. Brim මුලින්ම හදන්නෙ Zeek වලට. (Zeek සහ Brim හදපු දෙන්න හොඳ යාළුවො) හැබැයි Brim PCAP ෆයිල් වලටත් සපෝට් කරනව. Brim ට පුළුවන් මේ PCAP ෆයිල් වලින් වැදගත් තොරතුරු අරගන ලස්සනට පිළිවෙලකට හදල ඉදිරිපත් කරන්න.

Brim

Brim කියන්නෙ වයර්ශාක් වගේම විවෘත හා නිදහස් මෘදුකාංගයක්. ඔවුන්ගේ වෙබ් අඩවියෙන් නොමිලේම ලබාගන්න පුළුවන්. මේ මෘදුකාංගය පරිගණකයේ ඉන්ස්ටෝල් කරාට පස්සෙ අපිට තියෙන්නෙ අපිට අවශ්‍ය PCAP ෆයිල් එක Brim වලට ඇදල දාන එක විතරයි.

Wireshark වල PCAP ෆයිල් එකක් ඕපන් කරහම තියන විදිහ

Brim වලින් PCAP ෆයිල් එකක් ඕපන් කරහම තියන විදිහ

ඉහල තියන Brim වල ඕපන් කරපු එක දිහා බැලුවහම අපිට ගොඩක් තොරතුරු ඉතාම පහසුවෙන් බලාගන්න පුළුවන්. සාමාන්‍ය බ්‍රවුසර් එකක වගේ ටැබ් කිහිපයක් ඕපන් කරගෙන එකම ෆයිල් එක හෝ විවිධ ෆයිල් කිහිපයක් එකවර ඇනලයිස් කරන්න පුළුවන්.

වම් පැත්තෙ තියන තියන ඩිෆෝල්ට් queries පාවිච්චි කරල අපිට බලන්න අවශ්‍ය දත්ත තෝරගන්න පුළුවන්.

අපිට අවශ්‍ය දත්තයක් තෝරල, ඒ උඩ රයිට්ක්ලික් කරල ඒ තේරීම ෆිල්ටර් එකක් හැටියටත් පාවිච්චි කරන්න පුළුවන්. ඒ වගේම අපිට අවශ්‍ය විදිහට ෆිල්ටර් පාවිච්චි කරන්නත් පුළුවන්. මේ වැඩේට පාවිච්චි කරන්නෙ ZQL කියන විශේෂ query language එක.

නෙට්වර්ක් එක තුල හුවමාරුවෙලා තියන ෆයිල් වල හෑෂ් අගය උඩ රයිට්ක්ලික් කරල ඒ අගයෙන් VirusTotal වෙබ් අඩවියෙන් ඒ ෆයිල් එක ගැන විස්තර බලන්න පුළුවන්. විශේෂයන්ම වයිරස් එකක්ද වගේ තොරතුරු.

තොරතුරු වල පෙන්වන IP එකක, වෙබ් ඇඩ්රස් එකක තොරතුරු පවා දැනගන්න පුළුවන්.

මේ Brim වල තියන මුලික හැකියාවල් ටිකක් විතරයි. මීට අමතරව Brim වලින් පෙන්නන තොරතුරු වලට අදාළ පැකට් විතරක් වයර්ශාක් හරහා විවෘතකරල ඇනලයිස් කරන්නත් පහසුකම් තියනව.

පාවිච්චි කරල, අධ්‍යනය කරල ඉගනගන්න වටිනා මෘදුකාංගයක්. විශේෂයෙන්ම පරිගණක ආරක්ෂාව, ජාල ආරක්ෂාව ගැන උනන්දු කෙනෙක්ට වටින මෘදුකාංගයක්.

Reference

Brim

Image Credits

Cover Image