본문 바로가기

security/포렌식

네트워크 포렌식 도구 NetWitness Investigator 9.x

네트워크 포렌식하면 포괄적으로 네트워크에 대한 패킷 분석이 기본이 됩니다.
제가 소개할 NetWitness Investigator 는 네트워크 포렌식 도구로, 네트워크 패킷에서 잠재적 리스크를 찾아주고 분석 해주는 유용한 도구 입니다.

해당 도구는 상용이며, 해당 사이트에서 무료 버전을 제공하고 있어 일반적인 기능을 테스트해 보기엔 충분합니다.
프로그램의 다운로드는 http://www.netwitness.com/products-services/investigator-freeware 에서 가능합니다.

제가 테스트한 버전은 9.5 버전으로 가장 최신 버전입니다.

해당 제품은 2G 이상의 cpu 와 메모리 1G ( 2G 권장) 이며 xp 이상의 윈도우 OS에서 구동됩니다.
상업용버전은 리눅스도 지원합니다.

아래는 해당 제품의 feature 입니다.

802.11 support 
Right-click custom actions 
Windows 7 support 
Captures raw packets live from most wired or wireless interfaces 
Imports packets from any open-source, home-grown and commercial packet capture system (e.g. .pcap file import) 
License supports 25 simultaneous 1GB captures - far exceeding data manipulation capabilities of packet tools like Wireshark 
Real-time, patented layer 7 analytics 
Effectively analyze data starting from application layer entities like users, email, address, files , and actions. 
Infinite, free-form analysis paths 
Content starting points 
Patented port agnostic service identification 
Extensive network and application layer filtering (e.g. MAC, IP, User, Keywords, Etc.) 
IPv6 support 
Full content search, with Regex support 
Exports data in .pcap format 
Bookmarking & history tracking 
Integrated GeoIP for resolving IP addresses to city/county, supporting Google® Earth visualization 
SSL Decryption (with server certificate) 
Interactive time charts, and summary view 
Interactive packet view and decode 
Hash PCAP on Export 
Supports Org, Domain, and ISP databases 
Supports NetWitness Live Threat Intelligence 
Supports VLAN meta tagging 
Supports IP Tunnel(i.e. GRE) meta tagging 

데이터의 연관성 및 정렬, 분석을 비교적 상세하게 지원하고 있습니다.
 

 
기회가 되시면 한번 사용해 보는 것도 좋을 것 같습니다..