Webベースのネットワークフォレンジックツール『Xplico』を使ってみる

ちょっと調べものをしていたところ、Webブラウザで管理できるネットワークフォレンジックツール『Xplico』なるものを見かけたので、試しに使ってみることにした。
フォレンジックツールといってもあまり伝わらないと思うので補足すると、何かしらのセキュリティインシデントが発生した際に後から追跡できるよう、証拠となるデータ(通信パケットやログ、その他のデータなど)を補完し、分析する機能を持ったツールのことだと考えてもらえればよいだろう。

今回は、この『Xplico』をインストールが簡単らしいUbuntu 14.04 LTSに導入する。

1.インストール

書かれていた通り、確かにUbuntuへのインストールは簡単で、以下のコマンドを実行すればよい。

sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico

これでインストールが完了した。
サービスも自動的に立ち上がっているはずなので、ブラウザを立ち上げて「http://サーバのIPアドレス:9876」へアクセスする。
ID/PWは管理者は「admin/xplico」、一般ユーザは「xplico/xplico」となっている。

adminでログイン後の画面がこちら。
(機械翻訳なのか、ところどころ日本語が怪しいような…)

xplicoユーザでのログイン後の画面がこちら。
以後はこちらで作業を進める。

2.通信を記録させる

さて、実際にどの程度通信を記録できるのか、ちょっと試してみよう。
とりあえずお試しなので、ミラーポートの設定はせずローカルの通信で試してみる。

まずxplicoユーザでログインし「New Case」から新しいケースを作成する。
今回は、「Live acquisition(リアルタイムでの解析)」を選択する。

作成したケースを選択し、「New Session」から新しいセッションを作成する。

あとは、利用するインターフェイスを選択して解析を開始するだけだ。

解析し始めてからしばらく経つと情報が記録されていくので、あとは左メニューからそれらの情報を確認するだけだ。

確かに、いろいろな情報を記録してくれるようだ。
ストレージ容量だったり、ミラーポートを設定したりといった対応は必要だけど、試しに導入してみるには有りなのではなかろうか。