Question

Я исследую bro как решение DPI для идентификации популярных веб-приложений (что-то вроде nDPI).Я могу определить, что conn.log аналогичен netflow.

В официальной документации сказано, что

В дополнение к журналам, Bro поставляется со встроенной функциональностью для ряда задач анализа и обнаружения, ...Идентификация популярных веб-приложений ...

Итак, я смотрел на исходный код и примеры, но не смог найти ни одного журнала по умолчанию, который бы идентифицировал популярные потоки веб-приложений.

Я в конечном итогехочу, чтобы conn.log или аналогичный журнал содержал «популярный сервис веб-приложений» под тегом сервиса.

Было бы замечательно, если бы кто-то указал мне на встроенный скрипт для идентификации популярных веб-приложений и соответствующих журналов.

Заранее спасибо!

Christian · Answer 1 · 07 мая 2019

Этот комментарий в документации ссылается на эти политики / подписи, Sachin:

https://github.com/zeek/zeek/blob/master/scripts/policy/protocols/http/detect-webapps.zeek https://github.com/zeek/zeek/blob/master/scripts/policy/protocols/http/detect-webapps.sig

Они довольно датированы (за исключением недавнего переименования Zeek иобновления совместимости).

Где встроены скрипты для идентификации популярных веб-приложений?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Где встроены скрипты для идентификации популярных веб-приложений?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы