Systém pre automatický záznam incidentov zachytil približne hodinu sieťovej prevádzky pochádzajúcej z IP rozsahu AI-CSIRT. Mám analyzovať, či sú tu nejaké incidenty a zahlásiť ich cez AI-CSIRT webové rozhranie na http://incident-report.csirt.ai.tcc/
tip: IP rozsahy pre AI-CSIRT sú 10.99.224.0/24 a 2001:db8:7cc::a1:0/112.
Po stiahnutí a rozbalení záznamu dostanem 326MB veľký PCAP súbor, čo vie dať časovo pri spracovaní zabrať.
Snažím sa robiť všetko cez vzdialené ssh prihlásenie, preto miesto klasického GUI Wireshark použijem command line utilitu Tshark.
Šlo by tiež použiť Snort, avšak pri poslednej verzii som mal problém s tým, že veľa pravidiel na internete funguje iba na staršej verzii a mám problém ako nastaviť premennú pre domácu sieť v prípade analýzy pcap súboru.