[Infra]보안 데이터 분석을 위한 Moloch
업데이트:
보안 데이터 분석을 위한 Moloch
Moloch란?
Moloch는 오픈소스 기반의 대규모 ipv4캡쳐(pcap)도구이다. Moloch 자체가 IDS를 대체하는 것은 아니지만 그런 솔루션들과 함께 빠른 엑세스를 제공하며, 표준 PCAP 포맷으로 모든 네트워크 트래픽을 저장하고 인덱싱하고 네트워크 패킷 캡쳐 파일을 수집하고, 빅 데이터세트를 검색하는 방식으로 조사 담당자를 지원한다. 다른 시스템들과 같이 쉽게 구축 가능하며, SW성능으로 10G이상 규모의 트래픽도 핸들링 가능함. PCAP 저장은 센서의 디스크에 저장이 되며 메타데이터 정보는 엘라스틱서치와 연동하여 사용 가능함.
와이어샤크(wireshark)와 유사하지만 네트워크 보안에 초점이 맞춰져 있는 Moloch은 단순한 웹 인터페이스에서 풀 패킷 캡쳐 정보를 보여줌.
대규모로 사용할 수 있다는 것이 특징. 엘라스틱서치(Elasticsearch)에 기반을 둔 자체 데이터베이스 및 인덱싱 시스템을 사용함.
와이어샤크 같은 도구에 필터 및 디스플레이 기능이 더 많기는 하지만, Moloch는 보안 관련 데이터에 집중된 방식을 보여주기 때문에
조사 담당자에게 더 유용한 역할을 한다.