[出自:jiwo.org]

安全研究人员最近开发了一个开源桌面应用程序——Brim，可以轻松处理非常大的数据包捕获（pcap）文件。该网络取证工具由美国供应商Brim Security开发，并于上个月以开源实用程序形式发布。

（https://github.com/brimsec/brim）

Pcaps提供了用于网络故障排除和安全事件响应的数据，但是这些原始数据文件很容易变得庞大而笨拙。

这个名为Brim的工具提供了一种通过Zeek网络流量分析框架搜索大型数据包捕获和日志的方法。用户可以通过启动Wireshark来搜索日志并从特定流中深入分析数据包。

Brim由多个开源组件构建而成，包括：结构化日志查询引擎zq；用于多平台用户界面的Electron和React；以及从数据包捕获文件生成网络分析数据的Zeek。

Brim Security的创始人Steve McCanne开发了libpcap，并且是tcpdump的作者之一。当被问及开发该工具（Brim）的原理时，麦卡纳表示：

我们希望减少花费任何人（专家级事件响应者和威胁猎人或只是想赢得夺旗大赛的人）寻找有趣时间的时间大数据和日志中的数据。

McCanne指出：

大型安全行动很麻烦，而且细节很多。Zeek日志很好地总结了pcap，但是没有简单的方法可以在桌面上搜索它们，也不能轻松地链接回pcap。Brim在易于使用的桌面应用程序（开放源代码）中加入了这些域，因此任何人现在都可以使用它。