通过Community ID 连接NSM工具

启明星辰金睛安全研究团队 2020-10-19

963

在安全分析师处理各类安全报警时候通常需要监控各类数据并且从一个数据集转到另一个数据集，但是这些操作往往是在管理平台手工操作甚至要从一个安全产品转到另一个安全产品查询，操作起来极其繁琐。那么Community ID是一个可以通过哈希串联起各类安全报警的功能。

目前CommunityID在安全洋葱中的落地效果还是很好的，如下是安全洋葱的UseCase：

简单的讲述Use Case#1的一个小案例，首先分析师发现从Amazon S3提供了可执行文件的报警：

查看报警详情发现确实是一个windows可执行文件。

想要搞清楚到底发生了什么，分析师需要扩展数据的线索，接下来尝试去查找相关日志，愚蠢一点的情况下需要筛选设备上资产的相关报警，去全流量设备上产看流量信息，以及去终端上排查相关文件，那么在安全洋葱的页面点击community_id左边的加号即可索引日志。

索引之后可以看到有三条报警事件也都是和下载可执行文件相关。

事件详情处除了三条报警还有其他类型的日志，zeek的http.log con.log还有终端的sysmon.log。

接着看zeek日志可以了解到这是一个请求了testmynids.org网站并在exe目录下载了calc.exe文件的网络行为。

最后看sysmon日志可以确切的知道是在windows终端使用curl工具执行命令的文件下载。

该用例通过community_id 从ids的报警开始到zeek最后再到终端串成了一条日志钻去的线路，而且可以点击pcap获得数据包，不同类型的数据唾手可得，串联线索的能力显而易见。

如下是安全洋葱讲解community_id 用例的视频：

https://www.youtube.com/watch?v=Is2shLAOyJs&list=PLljFlTO9rB15aVruK-l7FolRR5LTEGqHm&index=3

community_id其实就是根据网络五元组计算出来的一个字符串，源IP地址和目标IP地址和端口以及协议和种子进行哈希处理。生成的哈希是确定性的，可以在实现软件之间进行比较。允许在支持哈希的监视解决方案之间匹配连接。

https://github.com/corelight/pycommunityid

https://github.com/satta/gommunityid

对于NSM来说底层传感器到上层的处理平台都是缺一不可，如何通过一些小功能关联各个检测模块进行数据钻取和更智能的做威胁狩猎将是一个很有意思的方向。

文章转载自启明星辰金睛安全研究团队，如果涉嫌侵权，请发送邮件至：contact@modb.pro进行举报，并提供相关证据，一经查实，墨天轮将立刻删除相关内容。