Detectando el navegador Tor usando SIEM

4

Estoy buscando una forma posible de identificar la actividad del Navegador Tor utilizando QRadar. Tenemos Firewall integrado y amp; IPS (Sin Control de Aplicaciones. Por lo tanto, no es una opción posible). Revisé el enlace enlace pero no pude sincronizar el enlace todo el tiempo con QRadar.

¿Tiene alguna recomendación para detectar la actividad del Navegador Tor en un entorno utilizando registros de Firewall integrados en QRadar? No tengo acceso al firewall. Así que no se pueden hacer cambios en el firewall. Solo puedo hacer cambios en QRadar.

Como Tor usa el puerto 443, 9001 & 9030, hay una manera de sincronizar el contenido de la URL enlace o cualquier otra forma de detectar la actividad del Navegador Tor en la red .

No quiero bloquear. Solo quiero detectar usando QRadar.

    
pregunta Shiva 25.04.2017 - 21:58
fuente

4 respuestas

3

He hecho esto muy bien antes, el mejor método que encontré fue crear un trabajo para extraer periódicamente las direcciones IP de la lista de nodos de salida tor, esta lista se puede usar para probar su conjunto de reglas.

La lista se puede encontrar aquí.

Estos scripts pueden ayudar a convertirlos en un archivo CSV para que lo extraiga su SIEM.

    
respondido por el TheJulyPlot 21.06.2017 - 10:14
fuente
1

Si está alimentando los registros de tráfico a su SIEM, puede usar eso y comparar con una lista de nodos tor. (algo como BRO IDS)

Pero como cualquier lista de nodos tor va a estar cambiando / incompleta, probablemente querrá ver la detección a través de otras formas. Esto podría ser basado en el comportamiento, identificadores de seguridad identificados en su red u otras herramientas basadas en host.

Detectar el tráfico puede ser difícil, lo cual es por diseño. No creo que haya una forma específica de cortar y secar para detectar el tráfico. Combinar otros métodos de detección sería ideal.

Sé que esto no responde realmente a su pregunta específica, pero si está decidido a detectar el tráfico, es posible que deba buscar otras opciones.

    
respondido por el bigC5012 26.04.2017 - 18:38
fuente
1

Cree un conjunto de referencia para direcciones IP con un tiempo de vida que sea un poco más de una hora y llámelo como "nodos de salida Tor". Usando cron y wget descargue la lista de nodos de salida tor cada hora. Es posible que necesite ordenar las direcciones IP para que tenga 1 dirección IP por línea. Cargue el archivo cada hora en su conjunto de referencia así: /opt/qradar/bin/ReferenceSetUtil.sh cargue "Tor Exit Nodes" / path / to / file / with / tor / nodes. Luego, crea una nueva regla con una prueba que verifica si la IP de destino se produce en el conjunto de referencia y crea la respuesta que desee.

    
respondido por el Z-Blocker 22.05.2017 - 09:37
fuente
0

La forma más sencilla de hacer esto sería instalar un transformador de datos en la tubería entre sus dispositivos de red y QRadar. Parece que QRadar admite esto hasta cierto punto , o podría use Logstash o algo de su estilo como intermediario.

El problema con el procesamiento por lotes o el intento de resolverlos después del hecho es que introduce latencia, que puede funcionar o no si su organización está demandando una respuesta en tiempo real a estos eventos.

Para cada línea de registro, analiza la dirección IP, la referencia cruzada con la lista actual de nodos Tor conocidos y agrega una bandera booleana a los datos (is_tor: true | false).

Le recomendaría que también diera un paso más: si está preocupado por Tor, también debería preocuparse por los servidores proxy anónimos, y esas listas son más difíciles de encontrar de forma gratuita. Recomiendo encarecidamente que se suscriba a un servicio comercial (Maxmind, et al) que proporcione estas listas actualizadas y enriquezca sus datos basándose en los de ellos.

    
respondido por el Ivan 21.06.2017 - 19:09
fuente

Lea otras preguntas en las etiquetas