Примітка для читачів: Будь ласка, читайте уважно, щоб зрозуміти кожен аспект цього тексту
Аналіз логів:
Примітка: Рекомендується завжди відкривати логи в якомусь редакторі коду, наприклад, VSCode або Brackets або Sublime Text тощо.
Нижче наведено приклад логу для вашого розуміння, на якому я посилаюся в цьому блозі.
Спочатку давайте розберемо його структуру. Тепер, на відміну від v1.2, v2.1 досить легко зрозуміти, і весь сценарій можна схопити за менший час.
Отже, в ньому є кілька ключів, таких як id і objects.
“id” ідентифікує STIX бандл, що є просто упакованим сховищем даних, пов’язаних з інцидентом.
“objects” — це масив, що містить об'єкти (інциденти та спостережувані дані), що належать до цього бандла.
Тепер, кожен інцидент або атака відокремлюються за допомогою {}. Розглянемо приклад:
{
"created": "2024-11-08T09:15:27.623Z", -> Мітка часу, коли інцидент стався
"description": "\n\nTIME_OF_FIRST_MALICIOUS_ACTION:\n\t2024-10-10T06:56:52.000Z", -> Опис інциденту. Він містить TIME_OF_FIRST_MALICIOUS_ACTION, який позначає початок зловмисної діяльності.
"id": "incident--cb464733-f2ae-458c-bbd0-a53f400365bc", -> Унікальний ідентифікатор інциденту.
"modified": "2024-11-08T09:15:27.623Z", -> Мітка часу, коли інцидент був востаннє змінений.
"name": "desktop-b0smthc атакував ssh на finance-finacle-server декой", -> Назва інциденту, яка описує атаку та ціль.
"spec_version": "2.1", -> Версія STIX специфікації (в даному випадку, 2.1).
"type": "incident" -> Тип об'єкта, який у цьому випадку є інцидентом. Це вказує на те, що об'єкт описує безпековий інцидент.
},
Тепер, в кінці STIX v.1 логів є ще один об'єкт, який вказує на дані події об'єкта, які ми захопили, і коли вони були спостережені. В основному, ми натискали на desktop-b0smthc, щоб отримати STIX v2.1 логи. Отже, цей desktop-b0smthc — атакуючий, який здійснив кілька атак. Тому всі інциденти, пов'язані з цим атакувальником з усіх цих STIX логів, згадуються в масиві “object_refs”. Також зазначено кілька інших деталей про атакувальника, таких як перший час спостереження, останній час спостереження, кількість разів, коли він був спостережений тощо.
Приклад:
{
"created": "2024-11-08T09:15:27.623Z", → Мітка часу, коли були створені спостережувані дані.
"first_observed": "2024-11-08T09:15:27.623Z", → Перший раз, коли були побачені спостережувані дані.
"id": "observed-data--27c5b93c-a27a-4ad7-a6e2-00b06ecbd044", → Унікальний ідентифікатор об'єкта спостережуваних даних, тобто атакувальника
"last_observed": "2024-11-08T09:15:27.623Z", → Останній раз, коли були побачені спостережувані дані.
"modified": "2024-11-08T09:15:27.623Z", → Час останньої зміни спостережуваних даних.
"number_observed": 5, → Кількість разів, коли інциденти були спостережені. У цьому випадку це показує, що ці інциденти сталися 5 разів.
"spec_version": "2.1", → Версія STIX специфікації
"object_refs": [ → Це масив всіх знайдених інцидентів.
"incident--cb464733-f2ae-458c-bbd0-a53f400365bc",
"incident--f58a29bf-f6ba-4e37-8526-7be9901422ab",
"incident--631cf326-f237-43fa-8c74-1e5c4bc70592",
"incident--c33cea12-a973-426f-b1f9-62cd9e584e26",
"incident--b95692f3-d1ef-4f2e-8fda-4f1a31cde349"
],
"type": "observed-data" → Це вказує, що це спостережувані дані, тобто цей об'єкт, що є атакувальником, спостерігався під час атак.
}
В самому кінці буде ще одне поле:
"type": "bundle" → Це вказує, що тип файлу — бандл, що означає, що це сховище або директорія, що містить усі інциденти, упаковані разом.
Отже, ось як ми аналізуємо логи STIX v2.1, що набагато простіше, ніж логи v1.2.
## ПРИКЛАД ЛОГУ:
Я додав кілька зайвих пробілів для кращої читаємості
{
"id": "bundle--86713b6c-2997-44f9-8959-45147c9ed763",
"objects": [
{
"created": "2024-11-08T09:15:27.623Z",
"description": "\n\nTIMEOFFIRSTMALICIOUSACTION:\n\t2024-10-10T06:56:52.000Z",
"id": "incident--cb464733-f2ae-458c-bbd0-a53f400365bc",
"modified": "2024-11-08T09:15:27.623Z",
"name": "desktop-b0smthc атакував ssh на finance-finacle-server декой",
"spec_version": "2.1",
"type": "incident"
},
{
"created": "2024-11-08T09:n\t2024-10-10T06:56:52.000Z",
"id": "incident--f58a29bf-f6ba-4e37-8526-7be9901422ab",
"modified": "2024-11-08T09:15:27.623Z",
"name": "desktop-b0smthc атакував ssh на engineering-cms-windows декой",
"spec_version": "2.1",
"type": "incident"
},
{
"created": "2024-11-08T09:15:27.623Z",
"description": "\n\nTIMEOFFIRSTMALICIOUSACTION:\n\t2024-10-10T06:56:52.000Z",
"id": "incident--631cf326-f237-43fa-8c74-1e5c4bc70592",
"modified": "2024-11-08T09:15:27.623Z",
"name": "desktop-b0smthc атакував ssh на finance-atm-switch-server декой",
"spec_version": "2.1",
"type": "incident"
},
{
"created": "2024-11-08T09:15:27.623Z",
"description": "\n\nTIMEOFFIRSTMALICIOUSACTION:\n\t2024-10-10T06:56:52.000Z",
"id": "incident--c33cea12-a973-426f-b1f9-62cd9e584e26",
"modified": "2024-11-08T09:15:27.623Z",
"name": "desktop-b0smthc атакував мережу на development-developer-portals-server декой",
"spec_version": "2.1",
"type": "incident"
},
{
"created": "2024-11-08T09:15:27.623Z",
"description": "\n\nTIMEOFFIRSTMALICIOUSACTION:\n\t2024-10-10T06:56:52.000Z",
"id": "incident--b95692f3-d1ef-4f2e-8fda-4f1a31cde349",
"modified": "2024-11-08T09:15:27.623Z",
"name": "desktop-b0smthc атакував мережу на crms-88 декой",
"spec_version": "2.1",
"type": "incident"
},
{
"created": "2024-11-08T09:15:27.623Z",
"firstobserved": "2024-11-08T09:15:27.623Z",
"id": "observed-data--27c5b93c-a27a-4ad7-a6e2-00b06ecbd044",
"lastobserved": "2024-11-08T09:15:27.623Z",
"modified": "2024-11-08T09:15:27.623Z",
"numberobserved": 5,
"specversion": "2.1",
"object_refs": [
"incident--cb464733-f2ae-458c-bbd0-a53f400365bc",
"incident--f58a29bf-f6ba-4e37-8526-7be9901422ab",
"incident--631cf326-f237-43fa-8c74-1e5c4bc70592",
"incident--c33cea12-a973-426f-b1f9-62cd9e584e26",
"incident--b95692f3-d1ef-4f2e-8fda-4f1a31cde349"
],
"type": "observed-data"
}
],
"type": "bundle"
}
Перекладено з: How to analyze STIX v2.1 Logs in detail