what is a bro log
play

What is a Bro log? 1 What is a Bro log? A stream of - PowerPoint PPT Presentation

Feb 29, 2024 •568 likes •749 views

What is a Bro log? 1 What is a Bro log? A stream of high level entries that correspond to lower level events. An HTTP request/reply pair.

  1. What ¡is ¡a ¡Bro ¡log? 1

  2. What ¡is ¡a ¡Bro ¡log? • A ¡stream ¡of ¡high ¡level ¡entries ¡that ¡correspond ¡ to ¡lower ¡level ¡events. ¡ – An ¡HTTP ¡request/reply ¡pair. ¡ – An ¡email ¡sent ¡using ¡SMTP. ¡ – A ¡login ¡over ¡SSH. 2

  3. Not ¡log, ¡but ¡ logs • Bro ¡does ¡not ¡have ¡a ¡single ¡“alert” ¡type ¡log. ¡ ¡ Instead, ¡each ¡stream ¡has ¡a ¡dedicated ¡type ¡with ¡ it ¡own ¡set ¡of ¡fields. ¡ • More ¡than ¡one ¡file? ¡ – The ¡SMTP ¡log ¡has ¡‘from’ ¡and ¡‘subject’ ¡fields. ¡ – The ¡HTTP ¡log ¡has ¡‘method’ ¡and ¡‘uri’ ¡fields. ¡ – The ¡‘from’ ¡field ¡would ¡not ¡make ¡sense ¡for ¡HTTP ¡ and ¡the ¡‘method’ ¡field ¡would ¡not ¡make ¡sense ¡for ¡ SMTP. 3

  4. How ¡many ¡log ¡files ¡are ¡there? • By ¡default, ¡Bro ¡will ¡output ¡about ¡two ¡dozen ¡log ¡files, ¡ depending ¡on ¡what ¡types ¡of ¡traffic ¡it ¡can ¡see. ¡ – A ¡few: ¡conn, ¡dhcp, ¡dns, ¡dpd, ¡files, ¡http, ¡intel, ¡ ¡ known_certs, ¡known_hosts, ¡known_services, ¡ modbus, ¡notice, ¡radius, ¡smtp, ¡snmp, ¡socks, ¡ software, ¡ssh, ¡ssl, ¡syslog, ¡traceroute, ¡weird, ¡x509, ¡ and ¡quite ¡a ¡few ¡others. ¡ • More ¡in ¡every ¡release! 4

  5. Signal ¡to ¡Noise ¡ratio • The ¡main ¡way ¡that ¡log ¡files ¡can ¡be ¡categorized ¡is ¡by ¡their ¡size ¡ and ¡signal ¡to ¡noise ¡ratio. ¡Some ¡logs ¡files ¡are ¡large ¡and ¡will ¡ contain ¡entries ¡that ¡can ¡be ¡either ¡benign ¡or ¡malicious. ¡Other ¡ files ¡are ¡smaller ¡and ¡contain ¡more ¡actionable ¡information. ¡ ¡ – 24K ¡known ¡services.log ¡ – 28K ¡software.log ¡ – 68K ¡notice.log ¡ – 311M ¡dns.log ¡ – 856M ¡conn.log ¡ 5

  6. High ¡signal ¡log ¡files • Inventory ¡related ¡log ¡files ¡ – known_hosts ¡ – known_services ¡ – known_certs ¡ – software ¡ • Other ¡high ¡signal ¡log ¡files ¡ – notice: ¡When ¡Bro ¡detects ¡something ¡that ¡it ¡thinks ¡is ¡ exceptional ¡it ¡raises ¡a ¡notice. ¡ – intel: ¡Traffic ¡that ¡matches ¡a ¡list ¡of ¡known ¡bad ¡indicators ¡is ¡ logged ¡here. 6

  7. Increasing ¡signal ¡to ¡noise! • Bro ¡makes ¡it ¡easy ¡to ¡take ¡a ¡large ¡log ¡file ¡and ¡ filter ¡a ¡subset ¡of ¡the ¡entries ¡to ¡a ¡smaller ¡file ¡ with ¡a ¡higher ¡signal ¡to ¡noise ¡ratio. ¡ ¡ – Filtering ¡the ¡http.log ¡to ¡http_exe.log ¡ – Filtering ¡the ¡http.log ¡to ¡http_wget.log ¡ – Filtering ¡the ¡http.log ¡to ¡http_java.log ¡ – Filtering ¡the ¡conn.log ¡to ¡conn_cn.log ¡ – Filtering ¡the ¡ssh.log ¡to ¡ssh_non_us.log 7

  8. http_exe 8

  9. http_cn 9

  10. What ¡does ¡the ¡stream ¡of ¡events ¡ look ¡like? • A ¡key-­‑value ¡mapping. ¡ ¡Like ¡a ¡CSV ¡file ¡or ¡a ¡ relational ¡database ¡table. ¡ – We ¡can ¡create ¡some ¡log ¡files ¡by ¡starting ¡Bro ¡and ¡running ¡the ¡ following ¡command ¡line: ¡ • curl ¡www.google.com ¡ – This ¡will ¡request ¡the ¡google ¡home ¡page, ¡but ¡not ¡any ¡of ¡the ¡ associated ¡javascript ¡or ¡image ¡files. ¡ ¡ – Bro ¡will ¡write ¡an ¡entry ¡in ¡the ¡http.log ¡describing ¡this ¡event. ¡The ¡ http.log ¡contains ¡27 ¡columns ¡which ¡can ¡be ¡a ¡bit ¡daunting. ¡We ¡ can ¡transpose ¡the ¡columns ¡into ¡rows ¡to ¡make ¡this ¡single ¡line ¡ from ¡http.log ¡easier ¡to ¡understand. ¡ ¡ 10

  11. 11

  12. 12

  13. 13

  14. Not ¡just ¡HTTP! • This ¡one ¡HTTP ¡download ¡caused ¡Bro ¡to ¡write ¡ entries ¡to ¡6 ¡log ¡files: ¡ ¡ – ¡http.log ¡has ¡the ¡above ¡entry ¡ ¡ – ¡dns.log ¡ has ¡an ¡entry ¡from ¡the ¡dns ¡query ¡for ¡www.google.com ¡ ¡ – ¡files.log ¡has ¡an ¡entry ¡from ¡the ¡html ¡file ¡that ¡was ¡downloaded ¡ ¡ – conn.log ¡ has ¡an ¡entry ¡for ¡both ¡the ¡dns ¡an ¡http ¡connections ¡ – known_hosts.log ¡ has ¡an ¡entry ¡for ¡192.168.43.222 ¡ – software.log ¡has ¡an ¡entry ¡for ¡an ¡HTTP::BROWSER ¡of ¡ 
 curl/7.30.0 ¡seen ¡on ¡192.168.43.222 ¡ 14

  15. known_hosts This ¡means ¡192.168.43.222 ¡was ¡seen ¡for ¡the ¡first ¡time ¡at ¡1408828734.30382 15

  16. software This ¡means ¡curl/7.30.0 ¡was ¡seen ¡for ¡the ¡first ¡time ¡on ¡192.168.43.222 ¡at ¡ 1408828734.304076 ¡ ¡ 16

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

THE LOGGING LOOPHOLE How the Logging Industrys Unregulated Carbon Emissions Undermine

THE LOGGING LOOPHOLE How the Logging Industrys Unregulated Carbon Emissions Undermine

THE LOGGING LOOPHOLE How the Logging Industrys Unregulated Carbon Emissions Undermine Canadas Climate Goals environmental defence Dale Marshall Jennifer Skene Graham Saul Photo Credit: River Jordan for NRDC The Boreal Forest CARBON:

508 views • 23 slides
Data Integration for Neo4j using Kettle Matt Casters, matt.casters@neo4j.com mattcasters Neo4j

Data Integration for Neo4j using Kettle Matt Casters, matt.casters@neo4j.com mattcasters Neo4j

Data Integration for Neo4j using Kettle Matt Casters, matt.casters@neo4j.com mattcasters Neo4j Chief Solutions Architect Topics What is Kettle? Kettle plugins for Neo4j Kettle using Neo4j Examples The Hunger Games

808 views • 44 slides
REDBOOK 101 Accounting Procedures for Kentucky School Activity Funds 2 What is the

REDBOOK 101 Accounting Procedures for Kentucky School Activity Funds 2 What is the

REDBOOK 101 Accounting Procedures for Kentucky School Activity Funds 2 What is the Redbook? The Accounting Procedures for Kentucky School Activity funds, more commonly known as the Redbook, is a mandate from the Kentucky

827 views • 14 slides
Swiss E-Voting Workshop September 6, 2010 TRANSPARENCY SECURITY 2 VERIFIABILITY PRIVACY 3

Swiss E-Voting Workshop September 6, 2010 TRANSPARENCY SECURITY 2 VERIFIABILITY PRIVACY 3

Michael Clarkson Cornell University with Stephen Chong (Harvard) and Andrew Myers (Cornell) Swiss E-Voting Workshop September 6, 2010 TRANSPARENCY SECURITY 2 VERIFIABILITY PRIVACY 3 VERIFIABILITY PRIVACY Remote 4 KEY PRINCIPLE:

722 views • 44 slides
ALMA Common Software Basic Track Logging and Error Systems Logging system conceptual overview

ALMA Common Software Basic Track Logging and Error Systems Logging system conceptual overview

ALMA Common Software Basic Track Logging and Error Systems Logging system conceptual overview Logging system The logging system provide status and diagnostic information historical archive filtering capabilities by

305 views • 11 slides
Log-Structured File System CS 416: Operating Systems Design, Spring 2011 Department of Computer

Log-Structured File System CS 416: Operating Systems Design, Spring 2011 Department of Computer

CS416 File System Log-Structured File System CS 416: Operating Systems Design, Spring 2011 Department of Computer Science Rutgers University Rutgers Sakai: 01:198:416 Sp11 (https://sakai.rutgers.edu) Log Structured Filesystem LFS Basic

675 views • 15 slides
Disease Control System DiCon Sebastian Goll, Ned Dimitrov University of Texas at Austin November

Disease Control System DiCon Sebastian Goll, Ned Dimitrov University of Texas at Austin November

Disease Control System DiCon Sebastian Goll, Ned Dimitrov University of Texas at Austin November 24, 2009 Goll, Dimitrov (Texas) November 24, 2009 1 / 14 Introduction DiCon What is DiCon? DiCon is the Disease Control System. Procedure

348 views • 14 slides
fjlesystems 3 1 last time hard drives seek time rotational latency block remapping by disk

fjlesystems 3 1 last time hard drives seek time rotational latency block remapping by disk

fjlesystems 3 1 last time hard drives seek time rotational latency block remapping by disk controller solid state disks wear leveling move data to new block when written work around limitations of large erasure blocks (that cant be

1.67k views • 110 slides
It Can Understand the Logs, Literally Aidi Pi , Wei Chen, Will Zeller and Xiaobo Zhou IPDPSW19

It Can Understand the Logs, Literally Aidi Pi , Wei Chen, Will Zeller and Xiaobo Zhou IPDPSW19

It Can Understand the Logs, Literally Aidi Pi , Wei Chen, Will Zeller and Xiaobo Zhou IPDPSW19 @ Rio de Janeiro Outline Introduction to distributed system logs Challenges NLog: A NLP based log analysis approach Evaluation

197 views • 18 slides
Dynamic Policy Enforcement Dynamic Policy Enforcement in a Networked Environment in a Networked

Dynamic Policy Enforcement Dynamic Policy Enforcement in a Networked Environment in a Networked

Dynamic Policy Enforcement Dynamic Policy Enforcement in a Networked Environment in a Networked Environment Brandon Pollet Brandon Pollet Enterprise Security Group Enterprise Security Group Center for Information Security Center for

671 views • 28 slides
Inferring Models of Concurrent Systems from Logs of Their Behavior with CSight A?a-1 timeout s0

Inferring Models of Concurrent Systems from Logs of Their Behavior with CSight A?a-1 timeout s0

Inferring Models of Concurrent Systems from Logs of Their Behavior with CSight A?a-1 timeout s0 send(m) s1 M!m-0 s2 A?a-1 Sender Receiver A?a-0 A?a-1 2,1 M?m-0 1,0 send(m) A?a-0 s5 M!m-1 s4 send(m) s3 2,2 recv(m) 2,0 M!m-0

1.22k views • 75 slides
Detecting Large-Scale System Problems by Mining Console Logs Author : Wei Xu, Ling Huang,

Detecting Large-Scale System Problems by Mining Console Logs Author : Wei Xu, Ling Huang,

Detecting Large-Scale System Problems by Mining Console Logs Author : Wei Xu, Ling Huang, Armando Fox, David Patterson, Michael Jordan Conference: ICML 2010 SOSP2009, ICDM 2009 Reporter: Zhe Fu Outline SOSP 09 ICML 10 Offline Analysis

935 views • 48 slides
Log all the things! Honza Krl @honzakral Logs? Events! Log lines Twitter feed Invoices

Log all the things! Honza Krl @honzakral Logs? Events! Log lines Twitter feed Invoices

Log all the things! Honza Krl @honzakral Logs? Events! Log lines Twitter feed Invoices Metrics Why? What happened last Tuesday? Grep? Multiple machines Multiple logs Analysis/Discovery Time period Time? Time?! Time! apache

592 views • 33 slides
Improve Query Performance with the Query Log Analyzer Kees Vegter Field Engineer Query Log

Improve Query Performance with the Query Log Analyzer Kees Vegter Field Engineer Query Log

Improve Query Performance with the Query Log Analyzer Kees Vegter Field Engineer Query Log Analyzer kees@neo4j.com Query Log dbms.logs.query.enabled=true # If the execution of query takes more time than this threshold, # the query is

1.12k views • 27 slides
Creating LaTeX and HTML documents from within Stata using texdoc and webdoc Ben Jann University

Creating LaTeX and HTML documents from within Stata using texdoc and webdoc Ben Jann University

Creating LaTeX and HTML documents from within Stata using texdoc and webdoc Ben Jann University of Bern, ben.jann@soz.unibe.ch Nordic and Baltic Stata Users Group meeting Oslo, September 13, 2016 Ben Jann (University of Bern) texdoc/webdoc

563 views • 22 slides
2 Workloa d? 3 OLTP 4 OLAP OLTP 4 OLAP OLTP Streaming 4 Scan- OLAP OLTP Streaming

2 Workloa d? 3 OLTP 4 OLAP OLTP 4 OLAP OLTP Streaming 4 Scan- OLAP OLTP Streaming

2 Workloa d? 3 OLTP 4 OLAP OLTP 4 OLAP OLTP Streaming 4 Scan- OLAP OLTP Streaming oriented 4 Scan- OLAP OLTP Streaming Archiving oriented 4 Scan- Log- OLAP OLTP Streaming Archiving processing oriented 4 Scan- Log-

1.09k views • 105 slides
Harvesting Logs and Events Using MetaCentrum Virtualization Services Radoslav Bod, Daniel

Harvesting Logs and Events Using MetaCentrum Virtualization Services Radoslav Bod, Daniel

Harvesting Logs and Events Using MetaCentrum Virtualization Services Radoslav Bod, Daniel Kouil CESNET EGI Community Forum, April 2013 Agenda Introduction Collecting logs Log Processing Advanced analysis Resume

601 views • 44 slides
SECFUZZ: Fuzz-testing Security Protocols Petar Tsankov, Mohammad Torabi Dashti, David Basin ETH

SECFUZZ: Fuzz-testing Security Protocols Petar Tsankov, Mohammad Torabi Dashti, David Basin ETH

SECFUZZ: Fuzz-testing Security Protocols Petar Tsankov, Mohammad Torabi Dashti, David Basin ETH Zurich Motivation Input universe Invalid inputs Well-formed inputs Security protocol implementation Abnormal behaviors Behaviors May expose

454 views • 17 slides
Investigation into file size distribution and its effect on disk server performance Brain Davies

Investigation into file size distribution and its effect on disk server performance Brain Davies

Investigation into file size distribution and its effect on disk server performance Brain Davies STFC Rutherford Appleton Laboratory Your university or experiment logo here The Issue and Problem Site needs to drain hardware for

306 views • 7 slides
MapReduce Andrew Crotty Alex Galakatos What is MapReduce? MapReduce is a framework for:

MapReduce Andrew Crotty Alex Galakatos What is MapReduce? MapReduce is a framework for:

MapReduce Andrew Crotty Alex Galakatos What is MapReduce? MapReduce is a framework for: parallelizable problems large datasets cluster/grid computing Background Google project Implemented many special-purpose computations

373 views • 26 slides
Precimonious & HiFPTuner Tuning Assistant for Floating-Point Precision Ignacio Laguna,

Precimonious & HiFPTuner Tuning Assistant for Floating-Point Precision Ignacio Laguna,

Precimonious & HiFPTuner Tuning Assistant for Floating-Point Precision Ignacio Laguna, Harshitha Menon Lawrence Livermore National Laboratory Michael Bentley, Ian Briggs, Pavel Panchekha, Ganesh Gopalakrishnan University of Utah Hui Guo,

1.11k views • 45 slides
Towards a Methodology for Benchmarking Edge Processing Frameworks Pedro Silva, Alexandru Costan,

Towards a Methodology for Benchmarking Edge Processing Frameworks Pedro Silva, Alexandru Costan,

Towards a Methodology for Benchmarking Edge Processing Frameworks Pedro Silva, Alexandru Costan, Gabriel Antoniu Inria, IRISA France Invited Talk, BenchCouncil19, Denver, November 2019 Data Shifts to the Edge By 2022 Gartner predicts that

332 views • 21 slides
ADVANCED DATABASE SYSTEMS Recovery Protocols @ Andy_Pavlo // 15- 721 // Spring 2019 CMU

ADVANCED DATABASE SYSTEMS Recovery Protocols @ Andy_Pavlo // 15- 721 // Spring 2019 CMU

Lect ure # 12 ADVANCED DATABASE SYSTEMS Recovery Protocols @ Andy_Pavlo // 15- 721 // Spring 2019 CMU 15-721 (Spring 2019) 2 DATABASE RECOVERY Recovery algorithms are techniques to ensure database consistency , atomicity and durability

1.05k views • 50 slides
A ns2-based simulation framework for performance evaluation of overlay networks Michele Amoretti

A ns2-based simulation framework for performance evaluation of overlay networks Michele Amoretti

A ns2-based simulation framework for performance evaluation of overlay networks Michele Amoretti Mauro Andreolini Francesco Zanichelli Riccardo Lancellotti Universit di Parma Universit di Modena e Reggio Emilia FIRB Web-Minds, Genova

623 views • 16 slides

More recommend