もう6月最終日。このところ、天気が悪くて家にこもっていたり、よなよなアニメ一気見にハマったりと、日記を書くネタも気力も無く、気がつけば一週間以上サボってしまっていた。とりあえず、この一週間に取った画像などをいくつか並べながら、ちょっとまとめてみよう。
20日に臨時の実家行きから帰ってきて、それからの数日は、昼間、ちょっとリサーチのため(というか、半分趣味だが)のプログラミングなどに勤しんでいた。作っているのは、ファイアウォールのログを正規化してデータベースに保存するプログラム。家にあるMySQLのサーバにPF-Senseのログを書き込むのだが、Syslogで受けて、それを変換してD/Bに書き込むのである。D/Bに書き込めれば、あとはSQLの操作であれこれ集計ができるので便利だ。
書き込み部分のプログラムは、MySQL クライアントのC APIを使ってゴリゴリと書いている。ファイアウォールログの形式は標準化してあるので、今後、メインのYAMAHA RTX1210のログも同様に正規化して、まとめてしまおうと思っている。ちょっとしたSIEM的なものを作っている雰囲気だ。
現在、AlienVaultのOSSIMを動かしてはいるのだが、いまいち融通が利かない。とくに、ダッシュボードのパーツをカスタマイズできないので、作ってしまおうと思った次第である。集計処理は、SQLを使ってVIEWにしておき、ダッシュボードをマイクロソフトのPower BIで作ってみている。Power BIは結構使える。
MySQLのC APIは思い出しながら使っているので、なかなか進みが悪いのだが、とりあえずラッパー的なモジュールを作ってしまったので、作業効率は向上しつつある。あとは、ダッシュボードを作りながら、足りない項目があれば、スキーマを追加したりして、少しずつ組み上げている次第だ。
SIEMと同じように、IPで地域を判別したいので、各地域のNICから最新の割り当て情報を持ってきてD/B化してみた。2桁の国コードから国名の変換はISO-3166のデータを使っている。そんなことをしていたら、結構ボリュームが大きくなってきたが、それなりに面白いデータを見られるようになってきた。
そんなことをしながら、先週は客先に打ち合わせに行ったり、営業に行ったりして過ごした。そろそろ真面目に営業活動もしないと、仕事が続かなくなりそうだから困ったものだが、まぁ、さりとて、すぐに食い詰めるというわけではないから、比較的おっとりと構えている次第だ。
ちなみに、作っているダッシュボードはこんな感じである。ポートスキャンの状況を集計してみた。
作って見たら、先週、6881/udp(Bittorrentのポート)へのスキャンが一時的に急増している。大半は日本国内からのスキャンで、おそらくボットによるものだと思われるが、サミットがらみの攻撃準備か・・・などと妄想していた。幸にも、AMP攻撃のようなものは、いまのところ発生していなさそうだが、一斉スキャンが発生したとなると、何かの準備か・・と思いたくなる。用心にこしたことはない。見ての通り、最近のポートスキャンは、いわゆるIoTマルウエアによるものが上位に来る。23/tcpは相変わらずだが、比較的新しいマルウエアによると思われるポートも複数、上位に来ている。発信元IPの国別では、やはり米国が首位。次いで、ロシアとか中国、香港といった辺りが上位に来る。で、これを見ていたら、27日あたりから、23/TCPのスキャンが大きく減っている。それを地域別に分解してみたら、減ったのは一部の地域のようだ。しかも、昨日の午後3時頃から、また増加に転じている。あからさまに、サミット期間中減っているのは、意図的な規制を疑わせるのである。実際、大きく減ったのがこの2地域。
黒棒の国は、「さもありなん・・・」という感じなのだが、青棒の地域もその統制下にある、ということなのだろうか。折しも、騒動の真っ最中だが、それも影響してるのだろうか。あれこれ妄想が膨らむのである。さておき、こんな感じで色々分析できるようになったので、これをもっと充実させていこうと思っている次第である。
【追記】
後で調べたら、23/tcpスキャンは、某地域以外からのスキャンも大幅に減っていた。
地域的な・・というのは私の先入観だったらしい。原因はあれこれ妄想できるのだが、もしかしてこちらがわでフィルタした?というあたりから、実は23/tcpスキャンの元凶であるマルウエアはどこかの国の支配下にあった・・・・という陰謀説まで。(笑)いずれにせよ、サミット期間というのが憶測を呼ぶ。まぁ、作ったばかりで、あれこれ試行錯誤しているシステムなので、原因はデータ収集の不具合・・・という可能性もないではないけどね。
コメントする