Sguil 기본창

Security onion에 설치된 sguil을 실행시켜보자

스구일은 네트워크 보안 모니터링 도구로, 침입발생 시 경고를 출력하고, 패킷 분석을 제공한다.

Tcl/TK기반으로 만들어졌다.

Tcl/TK란?

Tool Command Language 이며, 빠른 프로토타이핑 스크립트 프로그램, GUI 및 테스팅에 많이 사용된다.

Sguil은 7734포트를 사용하며 데이터 베이스 종류는 MySQL이다.

전에 Sguil 아이디를 생성할때 적었던 Username하고 Password를 입력하도록 하자

Sguil- 네트워크 보안 모니터링을 위한 tcl/tk 인터페이스
이 프로그램은 HNU Public License 버전 3에 따라 배포됩니다. 자세한 내용은 LINCENSE를 참조하십시오.
이 프로그램은 유용하지만 어떠한 보증도 없이 배포되며, 특정 목적에 대한 상업성 또는 FINESS의 묵시적 보증도 필요하지 않습니다.

라고 써져있다.

 

밑에는 모니터링할 대상을 선택하는것이다.

모니터링 대상은 2가지가 있는데

왼쪽은 네트워크 침입 탐지를 경고하는 것이고

오른쪽은 호스트 침입 탐지를 경고하는 것이다.

 

웹 취약점 진단은 네트워크를 이용하기 때문에 왼쪽의 네트워크 침입 탐지를 켜둬야 될것이다.

원래는 체크박스가 보이지만, 이름이 너무 긴 관계로 체크박스가 안보이므로, Select All을 눌러서 체크해주도록 하자

이것은 Sguil의 기본화면이다. 

상단의 메뉴, 중단의 Main창, 하단의 Sub창이 있다.

이벤트들은 MySql에 저장되므로, 질의문을 이용해 이벤트를 검색할수있다.

 

상단에는 메뉴가 이렇게 3개가 있는데

File = Autocat, 비밀번호 변경, 카테고리 확인 기능을 제공

Query = 쿼리 검색을 제공

Reports = 탐지된 이벤트를 보고서 형태로 제공

Pr은 IP프로토콜이다 

RealTime Event는 실시간으로 탐지된 이벤트를 표시해주는것인데, 중복된 이벤트 값은 맨 처음 한번만 출력되고, 그뒤의 값들은 CNT 카운트만 올라가고 다른 정보(시간, 패킷정보,IP 등등)를 출력하지 않는다.

 

이를 파악하고 싶다면 Escalated Events에서 확인하면 된다.

기본적으로 Escalated Events에는 아무것도 나와있지 않는데, 

보고싶은 이벤트를 하나 클릭하고난뒤(RealTime Events에서) F9를 누르게 된다면 

이렇게 Escalated Event에 각 종류별로 뜨게 된다.