Traceeshark, güvenlik uygulayıcılarının güvenlik olaylarını hızla araştırmasını sağlayan Wireshark için bir eklentidir. Açık kaynaklı bir çalışma zamanı güvenliği ve adli tıp aracı olan Aqua Tracee’nin yeteneklerini geliştirir ve kullanıcıların ağ trafiğinin yanı sıra çekirdek düzeyinde olay ve davranışsal algılamayı analiz etmelerine olanak tanır.
Traceeshark ile kullanıcılar artık sistem etkinliğini ağ trafiği olaylarıyla birlikte görsel ve etkileşimli olarak analiz edebilir. Araç, Tracee’nin sistem olay verilerini kapsayıcının ve sürecin tam bağlamıyla ağ paketi analiziyle birleştirerek karmaşık güvenlik araştırmalarını basitleştirir.
“Traceeshark, güvenlik ve adli tıp için ilk çalışma zamanı eBPF tabanlı araçtır. Ağ etkinliğini ve sistem çağrılarını yakalayabilir ve çalışma zamanında bulut tabanlı ortamlar hakkında ayrıntılı bilgi sağlayabilir. Benzersiz özellikleri arasında, ağ trafiğini onu oluşturan veya alan süreçten gelen bağlamla zenginleştirirken sistem ve ağ etkinliğini tek bir yerde analiz etme yeteneği bulunur. Bir diğer benzersiz özelliği ise sistem etkinliğini gerçek zamanlı olarak yakalarken aynı anda inceleme ve analize izin vermesidir. Güvenlik uygulayıcıları için, hepsi bir arada işlevsellik sunan bir İsviçre çakısı gibi büyük bir avantaj sağlar,” Aqua Nautilus’ta Baş Veri Analisti olan Assaf Morag Help Net Security’ye söyledi.
Traceeshark’ın temel özellikleri
- Birleşik analiz: Kullanıcıların olayları ağ paketleriyle yan yana görüntülemesine ve filtrelemesine izin verin.
- Gelişmiş bağlam: Sistem süreçleri ve kapsayıcıları hakkında zengin bağlamsal bilgilerle sistem olaylarını ağ paketleriyle birlikte analiz ederek daha derin ilişkiler ve içgörüler elde edin.
- Canlı çekim: Tracee olaylarının canlı kayıtlarını gerçekleştirin ve bunları SSH üzerinden yerel veya uzaktan doğrudan Wireshark’a aktarın.
- Özelleştirilebilir filtreler: İlginizi çeken olaylara odaklanmak için Wireshark’ın gelişmiş filtreleme yeteneklerini kullanın; yaygın analiz görevleri için hızlı filtre düğmeleri kullanın.
Gelecek planları ve indirme
Morag, şunları başarmayı hedeflediklerini söyledi:
- Tüm olayları, sürecin diğer olaylarından alınan ekstra süreç bilgileriyle (yürütülebilir görüntü, komut satırı, vb.) zenginleştirin.
- Süreç ilişkilerini izleyin ve ortak ata süreçlerine ve diğer süreç ağacı yollarına dayalı filtrelemeye izin verin.
- Daha gelişmiş istatistikler ve veri toplamaları ekleyin.
- Bir olaydan diğerine etkileşimli bir şekilde atlama yeteneğiyle ilgili olayları (dosya işlemleri, işlem yaşam döngüsü) takip edin.
- Uzaktan canlı yakalama sırasında oluşturulan adli eserlerin doğrudan kayıt ana bilgisayarına yazılmasına izin verin.
Traceeshark’a GitHub’dan ücretsiz olarak ulaşabilirsiniz.
Mutlaka okuyun: