
Malcolmは、ツールフレームワークを活用したオープンソースのネットワークトラフィック分析ツールです。ネットワーク管理者向けの堅牢な分析ツールとして活用されています。Malcolmは、PCAP(フルパケットキャプチャ)ファイルとZeekログの形式でネットワークトラフィックデータを受け付けます。
参照: 採用キット: ネットワークエンジニア (TechRepublic Premium)
Malcolm には 2 つの異なるインターフェースが含まれています。
- OpenSearch ダッシュボード: 数十の事前構築されたダッシュボードを備えた柔軟なデータ視覚化プラグイン。
- Arkime: 疑わしいセキュリティ インシデントから構成されるネットワーク セッションを見つけて識別するための強力なツール。
Malcolmは使いやすく、コンテナ化されており、安全で、現在も活発に開発が進められています。このツールをUbuntu Server 22.04に導入する手順を解説します。
マルコムに必要なもの
Malcolm を起動するには、Ubuntu Server 22.10 のインスタンスと sudo 権限を持つユーザーが必要です。これで準備完了です。さあ、始めましょう。
新しいユーザーを作成する方法
まず最初に、新しいユーザーを作成します。Ubuntu ServerインスタンスにSSHで接続するかログインし、次のコマンドを実行します。
sudo useradd -m -d /opt/malcolm -s /bin/bash -G sudo malcolm
次のコマンドで新しいユーザーのパスワードを変更します。
sudo passwd malcolm
次のユーザーとしてログインします:
su - malcolm
Malcolmのクローンを作成しインストーラーを実行する方法
git を使用して、Malcolm の最新リリースを次のようにクローンします。
git クローン https://github.com/idaholab/Malcolm
次のコマンドで新しく作成されたディレクトリに移動します。
cd Malcolm
次のようにインストーラーを実行します。
sudo ./scripts/install.py
インストールの最初の段階では、いくつかの質問が表示されます。Y/Nで答えられる質問には、すべて と答えてくださいY
。Y/Nで答えられない質問は、次の1つだけです。
Enter user account:
それに対して、次のように答えます。
malcolm
マルコムの設定方法
インストーラーの質問に答えたら、Malcolm を設定する必要があります。以下のコマンドで設定ファイルを開きます。
sudo ./scripts/install.py –configure
もう一度、いくつか質問されます。質問と回答は以下のとおりです。
- Malcolm プロセスは UID 1000 および GID 1000 として実行されます。これでよろしいですか? (Y/n):
Y
- OpenSearch に 10g、Logstash に 3g を設定しています。これでよろしいでしょうか?
yes
- Logstashパイプラインに3つのワーカーを設定します。これでよろしいですか?(Y/n):
yes
- システムまたは Docker デーモンの再起動時に Malcolm を再起動します。—
Yes
必ずデフォルトのオプション (unless-stopped) を選択してください。 - Malcolm を HTTPS で設定するかどうかを選択します。
Yes
- Malcolm をプロキシの背後で実行するかどうかを選択します。
No
- ネットワークを選択: ヒット
Enter
- LDAPを選択:
No
- OpenSearch インデックス snapshosts を /opt/malcolm/Malcom/opensearch-backup にローカルに保存しますか?
Yes
- OpenSearch インデックス スナップショットを圧縮することを選択します。
Yes
- Suricata を使用してすべての PCAP ファイルを自動的に分析します。
Yes
- 更新されたSuricata署名を定期的にダウンロードします。
Yes
- Zeek を使用してすべての PCAP ファイルを自動的に分析します。
Yes
- データベースが特定のサイズを超えたときに最も古いインデックスを削除するかどうか:
No
- ログ内の送信元および宛先 IP アドレスをローカルで逆 DNS ルックアップします。
No
- MAC アドレスのハードウェア ベンダー OUI 検索:
Yes
- いくつかのフィールドで文字列のランダム性スコアリングを実行します。
yes
- OpenSearch ポートを外部ホストに公開します。
no
- Logstash ポートを外部ホストに公開します。
no
- Logstash ログを外部の OpenSearch インスタンスに転送します。
no
- Filebeat TCP ポートを外部ホストに公開します。
no
- SFTP サーバー (PCAP アップロード用) を外部ホストに公開します。
No
- Zeek によるファイル抽出を有効にする:
yes
interesting
抽出動作として選択します(図 A)。- ファイルの保存方法を選択してください:
quarantine
- ClamAV で抽出されたファイル/PE ファイルをスキャンします。
yes
- 抽出されたファイル/PE ファイルを Yara でスキャンします。
yes
- Capa で抽出されたファイル/PE ファイルをスキャンします。
yes
- 抽出したファイルのハッシュを VirusTotal で検索します。
no
- 更新されたスキャナー署名を定期的にダウンロードします。
yes
- Malcolm は、Arkime で分析するためにネットワーク トラフィックを PCAP ファイルにキャプチャする必要がありますか。
yes
- Malcolm がネットワーク トラフィックに使用するキャプチャ インターフェイス (カンマ区切り) を指定します。
eth0
- netsniff-ng を使用してパケットをキャプチャします (Y/n):
yes
- tcpdump を使用してパケットをキャプチャします (y/N):
no
- マルコムはSuricataを使用してトラフィックを分析する必要がありますか?
No
- キャプチャフィルタ(tcpdumpのようなフィルタ式。すべてのトラフィックをキャプチャするには空白のままにします)注:Elasticsearch(ポート9200)、Logstash(5044)、Arkime(8005)に関連するトラフィックを無効にすることができます。ポート9200、ポート5044、ポート8005は無効です。
- キャプチャ インターフェイスのハードウェア オフロードを無効にして、リング バッファ サイズを調整します: (y/N):
n
図A

これを実行したら、次のコマンドでシステムを再起動します。
sudo reboot
マルコムの管理者アカウントを作成する方法
システムが再起動したら、再度ログインし、次のコマンドで Malcolm アカウントに変更します。
su – マルコム
Change into the Malcolm directory for the user:
cd ~/Malcolm
次のコマンドで管理者アカウント設定スクリプトを実行します。
./scripts/auth_setup
必要な質問すべてに次のように答えます。
- ローカル Malcolm アクセス用の管理者のユーザー名/パスワードを保存しますか?
yes
- 新しい管理者ユーザーを作成し、そのユーザーにパスワードを付与します。
- Web トラフィック HTTPS 用の自己署名 SSL 証明書を (再) 生成します。
yes
- リモート ログ フォワーダー用の自己署名証明書を (再) 生成します。
yes
- Logstash イベントをセカンダリの外部 OpenSearch インスタンスに転送するためのユーザー名/パスワードを保存します。
no
- 電子メールアラート送信者アカウントのユーザー名/パスワードを保存します。
no
必要なDockerイメージをプルする方法
Malcolm は Docker でデプロイされているので、まず次のコマンドで公式イメージをプルする必要があります。
docker-compose pull
プルには多少時間がかかりますので、出力結果を見てゆっくり待つか、他の作業を行ってください。完了まで2~10分ほどお待ちください。
マルコムの起動とアクセス方法
Malcolm サービスを開始するには、次のコマンドを発行します。
./scripts/start
上記のコマンドはDockerコンテナをデプロイします。コンテナがデプロイされるまで十分な時間があれば、準備完了です。Malcolmはタスクごとに異なるURLを用意しています。各コンポーネントにアクセスする際は、設定手順で作成した管理者アカウントでログインしてください。
- OpenSearch ダッシュボードの場合、アドレスは https://SERVER/dashbaords です。ここで、SERVER はホスティング サーバーの IP アドレスです。
- Malcolm キャプチャ ファイルおよびログ アーカイブのアップロード画面の場合、アドレスは https://SERVER/upload です。ここで、SERVER はホスティング サーバーの IP アドレスです。
- ホストおよびサブネット マッピング エディターの場合、アドレスは https://SERVER/name-map-ui です。ここで、SERVER はホスティング サーバーの IP アドレスです。
- アカウント管理画面のアドレスは https://SERVER:488 です。ここで、SERVER はホスティング サーバーの IP アドレスです。
Malcolm Network Traffic Analyzerの導入手順は以上です。この強力なツールをぜひご活用ください。
Jack Wallen によるビジネス プロフェッショナル向けの最新のテクノロジー アドバイスをすべて知るには、YouTube で TechRepublic の How To Make Tech Work を購読してください。