Paul Troncone and Carl Albing Cybersecurity Ops with bash Attack, Defend, and Analyze from the Command Line

Download 4,82 Mb.

Pdf ko'rish

bet	97/206
Sana	29.03.2022
Hajmi	4,82 Mb.
	#515317

1 ... 93 94 95 96 97 98 99 100 ... 206

Bog'liq
Bash и кибербезопасность Атака, защита и анализ из командной строки

Часть II • Защитные операции с использованием bash
Замените.команду.
cut
.командой.
awk
..Вы.получили.те.же.результаты?.Какие.
различия.вы.увидели.в.этих.двух.методах?
2.. Разверните.сценарий.
histogram.sh
,.чтобы.включить.счетчик.в.конце.каждой.
гистограммы..Вот.пример.выходных.данных:
192.168.0.37 ############################# 2575030
192.168.0.2 ####### 665693
3.. Разверните.сценарий.
histogram.sh
,.чтобы.пользователь.мог.указать.параметр.
-s
,.
определяющий.максимальный.размер.столбца..Например,.
histogram.sh
.
-s
.
25
.
ограничит.максимальный.размер.столбца.до.25.символов.#..Если.параметр.
не.задан,.значение.по.умолчанию.должно.оставаться.равным.50.
4.. Измените.сценарий.
useragents.sh
.так,.чтобы.добавить.следующие.параметры.
.
y
Добавьте.код.для.необязательного.первого.параметра,.такого.как.имя.
файла.известных.хостов..Если.этот.параметр.не.указан,.по.умолчанию.
используется.имя.
known.hosts
.в.том.виде,.в.котором.оно.представлено.
в.данный.момент.
.
y
Добавьте.код.для.параметра.
-f
,.чтобы.принять.аргумент..Аргумент.—.это.имя.
файла.журнала,.предназначенного.для.чтения,.а.не.для.получения.из.stdin.
5.. Измените.сценарий.
pagereq.sh
.так,.чтобы.он.работал.с.традиционным.масси-
вом,.использующим.числовой.индекс,.а.не.с.ассоциативным.массивом..Чтобы.
можно.было.задействовать.IP-адрес,.преобразуйте.его.в.10–12-значное.число..
Внимание!.Не.указывайте.перед.числом.нули,.так.как.оболочка.попытается.
интерпретировать.его.как.восьмеричное..Например,.преобразуйте.10.124.16.3.
в.10124016003.и.используйте.в.качестве.числового.индекса.
Чтобы.просмотреть.дополнительные.ресурсы.и.получить.ответы.на.эти.вопросы,.
зайдите.на.сайт.
https://www.rapidcyberops.com/
.

8
Мониторинг журналов
в режиме реального времени
Умение.анализировать.журнал.после.того,.как.событие.произошло,.—.важный.
навык..Но.не.менее.важно.иметь.возможность.извлекать.информацию.из.файла.
журнала.в.режиме.реального.времени,.чтобы.обнаруживать.вредоносные.или.подо-
зрительные.действия.в.то.время,.когда.они.происходят..В.этой.главе.мы.рассмотрим.
методы.чтения.записей.журнала.по.мере.их.создания.и.форматирования.для.вывода.
аналитики.и.создания.предупреждений.на.основе.известных.показателей.угрозы.
для.работы.системы.или.сети.(indicators.of.compromise).
Техническое обслуживание, мониторинг и анализ журналов аудита определены
Центром интернет-безопасности в качестве 20 основных элементов контроля
безопасности. Дополнительные сведения можно получить на странице https://
www.cisecurity.org/controls/.
Мониторинг текстовых журналов
Самый.простой.способ.мониторинга.журнала.в.режиме.реального.времени.—.ис-
пользовать.команду.
tail
.с.параметром.
–f
.—.она.непрерывно.считывает.файл.и.по.
мере.добавления.новых.строк.выводит.их.в.stdout..Как.и.в.предыдущих.главах,.для.
примеров.будем.использовать.журнал.доступа.к.веб-серверу.Apache,.но.описанные.
методы.актуальны.для.любого.текстового.журнала..Чтобы.отслеживать.журнал.
доступа.Apache.с.помощью.команды.
tail
,.введите.следующее:
tail -f /var/logs/apache2/access.log
Вывод.из.команды.
tail
.может.быть.передан.команде.
grep
,.поэтому.будут.выво-
диться.только.записи,.соответствующие.определенным.критериям..В.следующем.
примере.отслеживается.журнал.доступа.Apache.и.выводятся.записи,.соответству-
ющие.конкретному.IP-адресу:
tail -f /var/logs/apache2/access.log | grep '10.0.0.152'

134

Download 4,82 Mb.

Do'stlaringiz bilan baham:

1 ... 93 94 95 96 97 98 99 100 ... 206