#bro
#bro
Вопрос:
Я изучаю bro как решение DPI для идентификации популярных веб-приложений (что-то вроде nDPI). Я могу идентифицировать это соединение.log аналогичен netflow.
В официальной документации было сказано, что
В дополнение к журналам, Bro поставляется со встроенной функциональностью для целого ряда задач анализа и обнаружения, … идентификации популярных веб-приложений…
Итак, я просматривал исходный код и примеры bro, но не смог найти ни одного журнала по умолчанию, который идентифицировал бы потоки популярных веб-приложений.
В конечном итоге я хочу, conn.журнал или аналогичный журнал, содержащий «популярную службу веб-приложений» под тегом service.
Было бы здорово, если бы кто-нибудь указал мне на встроенный скрипт для идентификации популярных веб-приложений и соответствующих журналов.
Заранее спасибо!
Комментарии:
1. Если вы хотите идентифицировать конкретные веб-приложения, вам следует потратить время на изучение части сценариев Zeek, в частности разделов HTTP / HTML. Кроме того, в signature Framework есть функции HTTP.
Ответ №1:
Этот комментарий в документах относится к этим политикам / sigs, Sachin:
https://github.com/zeek/zeek/blob/master/scripts/policy/protocols/http/detect-webapps.zeek
https://github.com/zeek/zeek/blob/master/scripts/policy/protocols/http/detect-webapps.sig
Они довольно устаревшие (за исключением недавнего переименования Zeek и обновлений совместимости).