redactie
De realiteit van PCAP’s (Packet Capture) is dat ze tijd kosten om te maken. Verschillende moeizame stappen zijn betrokken:
– Zoek een platform dat beschikbaar is en in staat is om een PCAP-applicatie te hosten (indien beschikbaar)
– Voer de PCAP uit
– Verplaats het bestand naar een systeem om te analyseren, en deze bestanden kunnen erg groot zijn. Dit kan extra stappen omvatten voor het delen via SFTP of SCP-toepassingen aan beide zijden van de overdracht.
Het resultaat van al deze inspanningen is dat ik ze over het algemeen niet gebruik, tenzij er geen andere keuze is. Het is getransformeerd in de Black Hat USA 2025 NOC om alle waarneembare gegevens naar een systeem te kunnen brengen en eenvoudig met de rechtermuisknop te klikken vanuit het FirePower Management Center (FMC) met behulp van de “Endace PCAP Pivot” optie, naar een platform voor het analyseren van de rijk betaalde pakketten, met een Wireshark-integratie. Het resultaat is dat ik de pakketanalyse in 99% van de gevallen vaker gebruik voor een aanzienlijk effect in het onderzoek van SOC-analisten.
Met deze workflow heb ik direct toegang tot de exacte pakketgegevens met betrekking tot de observatie. In plaats van alleen te vertrouwen op metadata of logs, kan ik de volledige netwerkcommunicatie bekijken, inclusief payload, tijdstempel- en sessiegegevens, wat een volledige context biedt voor mijn onderzoek. Deze directe aanpak versnelt mijn workflow door handmatige correlatiestappen te elimineren en de tijd te verkorten die nodig is om bedreigingen te valideren met meer indirecte methoden.
Na het vertrouwd raken met de visie van de FMC, krijg ik de mogelijkheid om forensische analyses uit te voeren van het verkeer van het verkregen netwerk dat verband houdt met de observatie, van een enkele klik naar een analyse van het verkeer op hoog niveau. Verdere analyses zijn beschikbaar, maar dit is het aspect van Endace dat relevant is voor dit onderzoek.
Dit stelt me in staat om de volledige reeks gebeurtenissen te reconstrueren die voorafgaan aan, tijdens en na de waarschuwing, waardoor verborgen aanvalsvector ontdekt kunnen worden die mogelijk niet duidelijk zijn op basis van waarschuwingsgegevens. De integratie ondersteunt ook real-time en historische verkeersanalyse, waardoor ik live bedreigingsinformatie kan correleren met eerdere netwerkactiviteiten. Deze holistische benadering verbetert mijn vaardigheden om bedreigingen op te sporen en te reageren op incidenten, waardoor de analyse van de meest nauwkeurige oorzaken mogelijk is en uiteindelijk een snellere reactie op veiligheidsincidenten.
Het schakelen van FMC naar Endace Vision vereenvoudigt mijn SOC-werkstromen door het strikt integreren en verzamelen van tests binnen een enkele operationele omgeving. Met een enkele klik kan ik een analyse op het niveau van Wireshark-pakketten voor mijn onderzoek uitvoeren.
Ik kijk ernaar uit om deze mogelijkheid in andere beveiligingscentra te gebruiken. Bekijk mijn reeks blogs over andere werkende processen.
Op Black Hat
Black Hat is de meest toonaangevende en diepgaande reeks beveiligingsevenementen in de computerindustrie. Opgericht in 1997, bieden deze meerdaagse jaarlijkse evenementen deelnemers de nieuwste onderzoeken, ontwikkelingen en trends op het gebied van computerveiligheid. Gedreven door de behoeften van de gemeenschap, presenteren Black Hat-evenementen inhoud rechtstreeks vanuit de gemeenschap via briefingpresentaties, trainingscursussen, tops en meer. De evenementen van Black Hat brengen mensen van alle carrièreniveaus en academische disciplines samen om te samenwerken, te netwerken en te discussiëren over onderwerpen op het gebied van computerveiligheid die voor hen van belang zijn. Deelnemers kunnen Black Hat-evenementen vinden in de Verenigde Staten, Canada, Europa, het Midden-Oosten en Azië. Voor meer informatie, bezoek de website van Black Hat.
We ontvangen graag uw mening! Stel een vraag en blijf in contact met Cisco Security op sociale media.
Cisco Security Social Media
LinkedIn
Facebook
Instagram
Twitter
Deel:
BRON
