TLS Analyzer

Данный метод позволяет на входе получить PCAP или текстовый файл. Из PCAP выделяются JA3-отпечатки и по ним выводится дополнительная информация. Анализ текстовых файлов позволяет установить соответствие между JA3 hash, JA3 fulltext или User-Agent. Например, получить JA3 hash и список User-Agent, загрузив JA3 fulltext. А если введено значение User-Agent, то будет выполнен поиск записей у которых в User-Agent есть такая подстрока.

Секции внутри отчета представлены в CSV формате, чтобы их было удобно анализировать в других средствах, от Excel до Jupyter.

Для данного механизма можно активировать следующие чекбоксы:

  • Search in JA3 fingerprint lists — добавить в отчет секцию, в которой выводятся результаты проверки JA3-отпечатков по репутационным спискам;
  • Show all known User-Agents for JA3 fingerprints — добавить в отчет секцию, в которой содержится информация по всем наблюдаемым User-Agent для каждого JA3-отпечатка в файле.

Отчет для PCAP на входе

Отчет состоит из трех секций:

  • Summary;

    • Packets total — количество пакетов в дампе;
    • Packets filtered — количество проанализированных пакетов;
    • ClientHello — количество найденных ClientHello;
    • Fingerprints — количество уникальных отпечатков.

  • Fingerprints;
    Список уникальных отпечатков в формате загрузки в контрмеру ATLS. Список отсортирован в порядке убывания количества отпечатков в дампе.

  • User-Agent Analysis;
    Дополнительная секция, предназначенная для пользователя. Для каждого уникального отпечатка:

    • Count, сколько раз найден отпечаток в дампе;
    • MD5 Hash, MD5 Hash JA3-отпечатка для поиска информации во внешних источниках;
    • Possible User-Agent, подсказка по User-Agent.

  • SS Feed JA3 Lists Analysis;
    В секции приводятся список JA3-отпечатков, по которым обнаружено вхождение в репутационные списки:

    • Count, сколько раз найден отпечаток в дампе;
    • MD5 Hash, MD5 Hash JA3-отпечатка для поиска информации во внешних источниках;
    • Comment, комментарий к JA3-отпечатку.

  • User-Agents by MD5;
    Информация по всем наблюдаемым User-Agent для каждого JA3-отпечатка.

Отчет для текстового файла на входе

Если для анализа выбран текстовый файл, то в отчете выводятся результаты поиска соответствий по базам сервиса.