先日、BSidesDCというカンファレンスにて、Bro Clash Courseというコースを受講してきました。そのメモを今日は共有します。
Broとは?
ネットワーク・フォレンジック・ツールとして知られており、Threat HuntingなどIR系で最近非常によく名前をきくツールです。
The Bro Network Security Monitor
Wireshark vs. BRO
ネットワーク分析といえば、Wireshark(もしくはtcpdump)が一番有名ですが、何が違うのでしょうか。一言で言えば、WiresharkはPacket-Orientedなツールに対して、BroはBehavior-Orientedなツールだといえます。
そのため、ツールというよりは、特定の目的・条件でパケットを検索・抽出してくれるスクリプト群というほうが正しいと思われます。Pcapファイルを読み込ませてスクリプトを実行させると、目的に特化したパケットだけを抽出、分析してくれることが主な機能です。そのため、全体をパケットベースで分析する場合にはWireSharkのほうが格段に便利ですが、特定の条件だけ抜き出すなど、攻撃パターン抽出にはBroがいいなど使い分けが必要になるといえます。
まとめ
フォレンジックから離れてしまっているため実証的な実験や実務に即した使い方については解説できませんでしたが、非常によいツールだと思うので、ぜひ利用してみてください。