Как анализировать Web-Proxy?

[Alpano]

Приветствую!
Мне необходимо проанализировать логи с DNS сервера и межсетевого экрана для подтверждения/опровержения взаимодействия узла с подозрительным IP.
Я полез в эту тему в гугле... Боже, только не ИИ. Я понимаю, что Self-organised maps(SOM)- это круто, но у меня логов всего на 50 строк.
Может кто объяснить джуну как их можно иначе анализировать или принцип их анализа? Работает ли это так что можно условно посмотреть в самый конец логов, найти подозрительный айпишник в конце и заявить, что конечное соединение было именно с ним? Какие инструменты или библиотеки для этого можно использовать? Логи прикрепляю, они без прикола, можете проверить(по крайней мере до меня дошли без них").

Буду рад каждому отзыву!
Всем добра!

 

[Alpano]

Видимо, я либо невероятно тупо сформулировал вопрос, либо на этом форуме большинство- red teamers)

 

[Dread Pirate Roberts]

не очень понятна задача.

Работает ли это так что можно условно посмотреть в самый конец логов, найти подозрительный айпишник в конце и заявить, что конечное соединение было именно с ним?

ну вообще - да, только если эти логи не были подделаны.

Какие инструменты или библиотеки для этого можно использовать?

я думаю, что для каждого устройства и его типа логов есть свой парсер.

судя по разному формату и полям данных в твоём логе:

<13>Sep 07 11:23:19 DC_main.caldera.local AgentDevice=WindowsDNS        AgentLogFile=dns_debug.log      PluginVersion=7.3.0.41  Date=07.09.2021 Time=11:23:12   Thread ID=17F8  Context=PACKET  Message=        Internal packet identifier=00000278C3416D00     UDP/TCP indicator=UDP   Send/Receive indicator=Rcv      Remote IP=10.208.24.74  Xid (hex)=6644  Query/Response=Q        Opcode=Q        Flags (hex)=0001        Flags (char codes)=D    ResponseCode=NOERROR    Question Type=A Question Name=x1.c.lencr.org

и

DeviceType=Estreamer    DeviceAddress=10.208.18.13      CurrentTime=1631003006943       recordType=RNA_FLOW_STATISTICS  recordLength=700        timestamp=07 Sep 2021 11:23:26  netmapDomainRef=0       detectionEngineRef=1    ipAddress=0.0.0.0       MACAddress=00:00:00:00:00:00    hasIPv6=true    eventSecond=0   eventMicroSecond=0      eventType=FLOW_STATISTICS               flowStatistics.initiatorIPAddress=10.208.24.74  flowStatistics.responderIPAddress=95.85.38.92   flowStatistics.ruleAction=2     flowStatistics.ruleReason=0     flowStatistics.initiatorPort=1267       flowStatistics.responderPort=22067      flowStatistics.tcpFlags=0       flowStatistics.protocol=6       flowStatistics.firstPacketTimestamp=1631003005  flowStatistics.lastPacketTimestamp=0    flowStatistics.packetsSent=3    flowStatistics.packetsReceived=3        flowStatistics.bytesSent=421    flowStatistics.bytesReceived=1566       flowStatistics.initiatorPacketsDropped=0        flowStatistics.responderPacketsDropped=0        flowStatistics.initiatorBytesDropped=0  flowStatistics.responderBytesDropped=0

- этот лог файл был собран из логов двух разных устройств.

на этом форуме большинство- red teamers)

да

 

[Alpano]

Спасибо!

 

[Alpano]

не очень понятна задача.

Мне нужно понять, является ли 185.243.218.27 конечной точкой подключения или нет.

 

[Dread Pirate Roberts]

Мне нужно понять, является ли 185.243.218.27 конечной точкой подключения или нет.

судя по названию поля "responderIPAddress" - является.

 

[grozdniyandy]

Анализ файла журнала выявил несколько IP-адресов с различной частотой появления. Вот топ-10 наиболее распространенных IP-адресов, найденных в журналах:


10.208.24.74 - 26 случаев
7.3.0.41 - 19 случаев
10.208.18.13 - 7 случаев
0.0.0.0 - 7 случаев
95.85.38.92 - 1 случай
20.42.73.25 - 1 случай
51.75.64.23 - 1 случай
162.125.19.130 - 1 случай
40.126.31.138 - 1 случай
52.109.12.19 - 1 случай
Чаще всего отображаются IP-адреса 10.208.24.74 и 7.3.0.41, что может быть нормальным для внутренних или доверенных внешних IP-адресов, или они могут указывать на подозрительную активность, если они не распознаны как часть вашей сети.


IP-адрес 0.0.0.0 часто используется по умолчанию в сетевых конфигурациях и может не вызывать особого беспокойства.


Остальные IP-адреса, которые отображаются только один раз, могут быть либо обычной внешней связью, либо потенциальными кандидатами на подозрительную активность, особенно если они не соответствуют известным или ожидаемым внешним службам.


Чтобы продолжить, вы могли бы рассмотреть:


Проверяем, являются ли наиболее часто используемые IP-адреса (10.208.24.74 и 7.3.0.41) частью вашей известной сети.
Изучение одноразовых IP-адресов, чтобы выяснить, связаны ли они с известными службами или с ними связаны какие-либо известные риски безопасности.

Ответ ГПТ4, я ужасно много воспользовался вот и уже не могу больше вопросов задать.

 

[grozdniyandy]

Окей, щас можем воспользоваться этим сайтом чтобы понять какие айпишки являются подозрительными для нас: https://www.ipqualityscore.com/ip-reputation-check/lookup/

Например, показатель подозрительности айпишника 51.75.64.23, 100%: https://www.ipqualityscore.com/ip-reputation-check/lookup/51.75.64.23