Webベースのネットワークフォレンジックツール『Xplico』を使ってみる
Pocket

ちょっと調べものをしていたところ、Webブラウザで管理できるネットワークフォレンジックツール『Xplico』なるものを見かけたので、試しに使ってみることにした。
フォレンジックツールといってもあまり伝わらないと思うので補足すると、何かしらのセキュリティインシデントが発生した際に後から追跡できるよう、証拠となるデータ(通信パケットやログ、その他のデータなど)を補完し、分析する機能を持ったツールのことだと考えてもらえればよいだろう。

今回は、この『Xplico』をインストールが簡単らしいUbuntu 14.04 LTSに導入する。

1.インストール

書かれていた通り、確かにUbuntuへのインストールは簡単で、以下のコマンドを実行すればよい。

sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico

 

これでインストールが完了した。
サービスも自動的に立ち上がっているはずなので、ブラウザを立ち上げて「http://サーバのIPアドレス:9876」へアクセスする。
ID/PWは管理者は「admin/xplico」、一般ユーザは「xplico/xplico」となっている。

20160821_054743000000

 

adminでログイン後の画面がこちら。
(機械翻訳なのか、ところどころ日本語が怪しいような…)

20160821_054951000000

 

xplicoユーザでのログイン後の画面がこちら。
以後はこちらで作業を進める。

20160821_061254000000

 

2.通信を記録させる

Sponsored Links

さて、実際にどの程度通信を記録できるのか、ちょっと試してみよう。
とりあえずお試しなので、ミラーポートの設定はせずローカルの通信で試してみる。

まずxplicoユーザでログインし「New Case」から新しいケースを作成する。
今回は、「Live acquisition(リアルタイムでの解析)」を選択する。

20160821_063603000000

 

作成したケースを選択し、「New Session」から新しいセッションを作成する。

20160821_063806000000

 

あとは、利用するインターフェイスを選択して解析を開始するだけだ。

20160821_063912000000

 

解析し始めてからしばらく経つと情報が記録されていくので、あとは左メニューからそれらの情報を確認するだけだ。

20160821_064511000000

 

確かに、いろいろな情報を記録してくれるようだ。
ストレージ容量だったり、ミラーポートを設定したりといった対応は必要だけど、試しに導入してみるには有りなのではなかろうか。

Pocket

Written by blacknon

インフラ系のSE。一時期はプログラマ。 仮想化とオープンソースに興味あり。一日中寝てたい今日このごろ。 スペインとかで働きたいなぁ…(シエスタがあるので)

Leave a Comment

メールアドレスが公開されることはありません。