Skip to content

nttcom/zeek-parser-CIFS-COM

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

28 Commits
analyzer
analyzer
 
 
cmake
cmake
 
 
scripts
scripts
 
 
testing
testing
 
 
CMakeLists.txt
CMakeLists.txt
 
 
LICENSE
LICENSE
 
 
README.md
README.md
 
 
README_en.md
README_en.md
 
 
zkg.meta
zkg.meta
 
 

Repository files navigation

Zeek-Parser-CIFS-COM

English is here

概要

Zeek-Parser-CIFS-COMとはCIFS Browser Protocolを解析できるZeekプラグインです。

インストール

パッケージマネージャーによるインストール

このプラグインはZeek Package Manger用のパッケージとして提供されています。

以下のコマンドを実行することで、本プラグインは利用可能になります。

zkg refresh
zkg install zeek-parser-CIFS-COM

マニュアルインストール

本プラグインを利用する前に、Zeek, Spicyがインストールされていることを確認します。

# Zeekのチェック
~$ zeek -version
zeek version 5.0.0

# Spicyのチェック
~$ spicyz -version
1.3.16
~$ spicyc -version
spicyc v1.5.0 (d0bc6053)

# 本マニュアルではZeekのパスが以下であることを前提としています。
~$ which zeek
/usr/local/zeek/bin/zeek

本リポジトリをローカル環境に git clone します。

~$ git clone https://github.com/nttcom/zeek-parser-CIFS-COM.git

使い方

パッケージマネージャーによるインストールの場合

以下のように本プラグインを使うことで cifs.log が生成されます。

zeek -Cr /usr/local/zeek/var/lib/zkg/clones/package/zeek-parser-CIFS-COM/testing/Traces/test.pcap zeek-parser-CIFS-COM

マニュアルインストールの場合

ソースコードをコンパイルして、オブジェクトファイルを以下のパスにコピーします。

~$ cd ~/zeek-parser-CIFS-COM/analyzer
~$ spicyz -o CIFS_B.hlto CIFS_B.spicy CIFS_B.evt
# CIFS_B.hltoが生成されます
~$ cp CIFS_B.hlto /usr/local/zeek/lib/zeek-spicy/modules/

同様にZeekファイルを以下のパスにコピーします。

~$ cd ~/zeek-parser-CIFS-COM/scripts/
~$ cp main.zeek /usr/local/zeek/share/zeek/site/CIFS_B.zeek

最後にZeekプラグインをインポートします。

~$ tail /usr/local/zeek/share/zeek/site/local.zeek
...省略...
@load CIFS_B

本プラグインを使うことで cifs.log が生成されます。

~$ cd ~/zeek-parser-CIFS-COM/testing/Traces
~$ zeek -Cr test.pcap /usr/local/zeek/share/zeek/site/CIFS_B.zeek

ログのタイプと説明

本プラグインはcifsの全ての関数を監視してcifs.logとして出力します。

フィールド タイプ 説明
ts time 通信した時のタイムスタンプ
SrcIP addr 送信元IPアドレス
SrcMAC string 送信元MACアドレス
ServerName string サーバーの名前
OSVersion string OSのバージョン
ServerType string サーバーのタイプ
BrowserVersion string ブラウザのバージョン
Signature string シグネチャー
HostComment string ホストに関連するコメント情報

cifs.log の例は以下のとおりです。

#separator \x09
#set_separator	,
#empty_field	(empty)
#unset_field	-
#path	cifs
#open	2023-09-13-02-32-42
#fields	ts	SrcIP	SrcMAC	ServerName	OSVersion	ServerType	BrowserVersion	Signature	HostComment
#types	time	addr	string	string	string	string	string	string	string
1523724456.329519	192.168.1.35	08:00:27:b9:d0:0a	SNG-WIN2K	5.0	0x1003	15.1	0xaa55	(empty)
1523724487.160319	192.168.1.35	08:00:27:b9:d0:0a	SNG-WIN2K	5.0	0x51003	15.1	0xaa55	(empty)
1523724541.105258	192.168.1.37	08:00:27:fb:de:c8	SNG-WINNT4	4.0	0x9002	15.1	0xaa55	(empty)
#close	2023-09-13-02-32-43

関連ソフトウェア

本プラグインはOsecTで利用されています。

About

No description, website, or topics provided.

Resources

Readme

License

BSD-2-Clause license
Activity
Custom properties

Stars

0 stars

Watchers

8 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Contributors 2

  •  
  •  

Languages