@wato_dn です。

解析環境のOriginスナップショットのメンテナンスを行い、Wireshark関連も少し強化(?)しました。
(元々手打ちしてたようなものをFilterにしただけなのですが・・)

Githubに上げましたが、備忘録として残しておきます。

なお、ほとんどPalo Alto Networks様の記事を参考にしています。

フィルター

https://github.com/watoly/Wireshark_Filters

Basic
(http.request or tls.handshake.type == 1) and !(udp.port eq 1900)

Basic+
(http.request or tls.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)

Simple Mail Hunthing
smtp contains "From: "

Basic+ DNS
(http.request or tls.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

httpport
http.request and tcp.port eq 8082
*一旦はPort:8082が入ってますが、対象によって変更して下さい。

SMTP
smtp.data.fragment

FTP
ftp.request.command

FTP-DATA
ftp-data

カラム

対象によって、表示はさせたりさせなかったりします。

仕上がり

*上記通信はMalware-Traffic-AnalysisのTrickbotです
https://www.malware-traffic-analysis.net/2019/11/25/index.html

フィルターはおそらく利用者によって様々だと思いますので、こういうのも有用だぜ!というものがあれば、ぜひTwitter等で教えていただけると嬉しいです。

 

参考

https://www.paloaltonetworks.jp/company/in-the-news/2019/unit42-customizing-wireshark-changing-column-display
https://www.paloaltonetworks.jp/company/in-the-news/2019/using-wireshark-display-filter-expressions
https://www.paloaltonetworks.jp/company/in-the-news/2019/using-wireshark-identifying-hosts-and-users
https://www.paloaltonetworks.jp/company/in-the-news/2019/using-wireshark-exporting-objects-from-a-pcap