Rileva Tor Browser utilizzando SIEM

4

Sto cercando un modo possibile per identificare l'attività di Tor Browser utilizzando QRadar. Abbiamo integrato Firewall & IPS (senza Application Control. Quindi non un'opzione possibile). Ho consultato il link link ma non sono riuscito a sincronizzare il collegamento sempre con QRadar.

Hai qualche raccomandazione per rilevare l'attività del Tor Browser in un ambiente utilizzando i registri del Firewall integrati in QRadar? Non ho accesso al firewall. Quindi non è possibile apportare modifiche al firewall. Posso solo apportare modifiche in QRadar.

Come Tor usa la porta 443, 9001 e amp; 9030, esiste un modo per sincronizzare il contenuto dell'URL link o qualsiasi altro modo per rilevare l'attività di Tor Browser nella rete .

Non voglio bloccare. Voglio solo rilevare usando QRadar.

    
posta Shiva 25.04.2017 - 21:58
fonte

4 risposte

3

Ho già fatto questo, il miglior metodo che ho trovato è stato creare un lavoro per estrarre periodicamente gli IP dall'elenco dei nodi di uscita tor, questo elenco può essere usato per testare il tuo set di regole.

L'elenco può essere trovato qui.

Questi script possono aiutarti a convertirli in un file CSV che verrà estratto dal tuo SIEM.

    
risposta data 21.06.2017 - 10:14
fonte
1

Se si stanno alimentando i registri del traffico con il SIEM, è possibile utilizzarli e confrontarli con un elenco di nodi tor. (qualcosa come BRO IDS)

Ma dal momento che qualsiasi elenco di nodi tor sta per essere modificato / incompleto, probabilmente vorrai cercare di individuare altri modi. Ciò potrebbe essere basato sul comportamento, sulla sicurezza degli identificatori sulla rete o su altri strumenti basati su host.

Il rilevamento del traffico può essere difficile, in base alla progettazione. Non penso che ci sia un modo specifico e asciutto per rilevare il traffico. La combinazione di altri metodi di rilevamento sarebbe l'ideale.

So che in realtà non risponde alla tua domanda specifica, ma se sei determinato a individuare il traffico potresti dover consultare altre opzioni.

    
risposta data 26.04.2017 - 18:38
fonte
1

Crea un set di riferimento per gli indirizzi IP con un tempo di vita che è poco più di un'ora e chiamalo come "Tor Exit Nodes". Utilizzando cron e wget, scaricare l'elenco di tor exit nodes ogni ora. Forse è necessario riordinare gli indirizzi IP in modo da avere 1 indirizzo IP per linea. Carica il file ogni ora nel tuo set di riferimento in questo modo: /opt/qradar/bin/ReferenceSetUtil.sh carica "Tor Exit Nodes" / percorso / su / file / con / tor / nodi. Quindi crei una nuova regola con un test che verifica se l'IP di destinazione si verifica nel set di riferimento e crea qualsiasi risposta a ciò che desideri.

    
risposta data 22.05.2017 - 09:37
fonte
0

Il modo più semplice per farlo sarebbe quello di integrare una sorta di trasformatore di dati nella pipeline tra i dispositivi di rete e QRadar. Sembra che lo stesso QRadar supporti questo aspetto , oppure potresti usa Logstash o qualcosa del genere come intermediario.

Il problema con l'elaborazione in batch o il tentativo di risolverli dopo il fatto è che introduce la latenza, che può o meno funzionare se la tua organizzazione richiede una risposta in tempo reale a questi eventi.

Per ogni riga di registro, si analizza l'indirizzo IP, si fa un riferimento incrociato con l'elenco corrente di nodi Tor conosciuti e si aggiunge un flag booleano ai dati (is_tor: true | false).

Ti consiglierei di fare un ulteriore passo avanti - se sei preoccupato per Tor, dovresti anche preoccuparti dei proxy anonimi, e quelle liste sono più difficili da trovare gratuitamente. Consiglio vivamente di iscrivermi a un servizio commerciale (Maxmind, et al) che fornisce questi elenchi aggiornati e arricchisce i dati in base ai loro.

    
risposta data 21.06.2017 - 19:09
fonte

Leggi altre domande sui tag