ማወቅ ያለብዎት 7 ክፍት ምንጭ የክላውድ ደህንነት መከታተያ መሳሪያዎች

የክላውድ ኮምፒዩቲንግን በስፋት መቀበሉ ኩባንያዎች ንግዳቸውን እንዲያሳድጉ ይረዳል። ነገር ግን አዳዲስ መድረኮችን መጠቀምም አዳዲስ ስጋቶች መፈጠር ማለት ነው። የደመና አገልግሎቶችን ደህንነት የመከታተል ኃላፊነት ባለው ድርጅት ውስጥ የራስዎን ቡድን መደገፍ ቀላል ስራ አይደለም። አሁን ያሉት የክትትል መሳሪያዎች ውድ እና ዘገምተኛ ናቸው. መጠነ ሰፊ የደመና መሠረተ ልማትን ደህንነት ማረጋገጥ ከፈለጉ በተወሰነ ደረጃ ለማስተዳደር አስቸጋሪ ናቸው። የደመና ደህንነታቸውን በከፍተኛ ደረጃ ለመጠበቅ የሚፈልጉ ኩባንያዎች ከዚህ በፊት ከነበሩት በላይ ኃይለኛ፣ ተለዋዋጭ እና ሊረዱ የሚችሉ መሳሪያዎችን ይፈልጋሉ። ክፍት ምንጭ ቴክኖሎጂዎች ለደህንነት ሲባል በጀትን ለመቆጠብ የሚረዱ እና ስለንግድ ስራቸው ብዙ በሚያውቁ ልዩ ባለሙያዎች የተፈጠሩ በጣም ምቹ የሆኑ ቴክኖሎጂዎች እዚህ ላይ ነው።

ዛሬ የምናተምነው ጽሑፉ የደመና ስርዓቶችን ደህንነት ለመቆጣጠር የ 7 ክፍት ምንጭ መሳሪያዎችን አጠቃላይ እይታ ይሰጣል። እነዚህ መሳሪያዎች ያልተለመዱ ነገሮችን እና አደገኛ እንቅስቃሴዎችን በመለየት ከሰርጎ ገቦች እና ከሳይበር ወንጀለኞች ለመጠበቅ የተነደፉ ናቸው።

1. ኦስኬሪ

ኦስክሪ የደህንነት ባለሙያዎች SQL ን በመጠቀም ውስብስብ የመረጃ ማምረቻዎችን እንዲያካሂዱ የሚያስችል ዝቅተኛ ደረጃ ቁጥጥር እና የስርዓተ ክወናዎች ትንተና ስርዓት ነው። የ Osquery ማዕቀፍ በሊኑክስ፣ ማክሮስ፣ ዊንዶውስ እና ፍሪቢኤስዲ ላይ ሊሄድ ይችላል። የስርዓተ ክወናውን (OS) እንደ ከፍተኛ አፈፃፀም የግንኙነት ዳታቤዝ አድርጎ ያቀርባል. ይህ የደህንነት ባለሙያዎች የ SQL ጥያቄዎችን በመተግበር ስርዓተ ክወናውን እንዲያስሱ ያስችላቸዋል። ለምሳሌ መጠይቅን በመጠቀም ስለ አሂድ ሂደቶች፣ ስለተጫኑ የከርነል ሞጁሎች፣ ስለ ክፍት የአውታረ መረብ ግንኙነቶች፣ ስለተጫኑ የአሳሽ ቅጥያዎች፣ ስለ ሃርድዌር ክስተቶች፣ ስለ ፋይል ሃሽ ድምር ማወቅ ይችላሉ።

የ Osquery ማዕቀፍ የተፈጠረው በፌስቡክ ነው። የእሱ ኮድ በ 2014 ተከፍቶ ነበር, ኩባንያው ራሱ ብቻ ሳይሆን ዝቅተኛ ደረጃ የስርዓተ ክወና ዘዴዎችን ለመከታተል የሚያስፈልጉ መሳሪያዎች እንደነበሩ ከተገነዘበ በኋላ. ከዚያን ጊዜ ጀምሮ ኦስኬሪ እንደ Dactiv, Google, Kolide, Trail of Bits, Uptycs እና ሌሎች ብዙ ኩባንያዎች ባሉ ባለሙያዎች ጥቅም ላይ ውሏል. በቅርቡ ነበር። አስታወቀ ሊኑክስ ፋውንዴሽን እና Facebook Osqueryን ለመደገፍ ፈንድ ሊመሰርቱ ነው.

Osqueryd ተብሎ የሚጠራው የኦስኬሪ አስተናጋጅ ክትትል ዴሞን ከድርጅትዎ መሠረተ ልማት መረጃ የሚሰበስቡ ጥያቄዎችን የጊዜ ሰሌዳ እንዲያስቀምጡ ይፈቅድልዎታል። ዴሞን የጥያቄ ውጤቶችን ይሰበስባል እና በመሠረተ ልማት ሁኔታ ላይ ለውጦችን የሚያንፀባርቁ ምዝግቦችን ይፈጥራል። ይህ የደህንነት ባለሙያዎች በስርዓቱ ውስጥ ያለውን የሁኔታዎች ሁኔታ እንዲያውቁ እና በተለይም ያልተለመዱ ነገሮችን ለመለየት ጠቃሚ ነው። የ Osquery's log aggregation ብቃቶች የሚታወቁትን እና ያልታወቁ ማልዌሮችን ፍለጋን ለማመቻቸት እንዲሁም ሰርጎ ገቦች ወደ ስርዓቱ የገቡበትን ቦታ ለመለየት እና የተጫኑትን ፕሮግራሞችን ለማግኘት ሊያገለግል ይችላል። እዚህ Osqueryን በመጠቀም ስለ anomaly ማወቂያ ዝርዝሮችን ማግኘት የሚችሉበት ቁሳቁስ።

2.GoAudit

ስርዓት የሊኑክስ ኦዲት ሁለት ዋና ዋና ክፍሎችን ያካትታል. የመጀመሪያው የስርዓት ጥሪዎችን ለመጥለፍ እና ለመቆጣጠር የተነደፈ አንዳንድ የከርነል ደረጃ ኮድ ነው። ሁለተኛው አካል የተጠቃሚ-ስፔስ ዴሞን ይባላል ኦዲት ተደርጓል. የኦዲት ውጤቱን ወደ ዲስክ የመፃፍ ሃላፊነት አለበት. GoAudit, በድርጅቱ የተፈጠረ ስርዓት ትወርሱ እና በ 2016 የተለቀቀው ኦዲት የተደረገውን ለመተካት ነው. በሊኑክስ ኦዲቲንግ ሲስተም የሚመነጩ የባለብዙ መስመር የክስተት መልዕክቶችን ወደ ነጠላ JSON ብሎብስ በመቀየር የመግባት አቅምን አሻሽሏል፣ ይህም ለመተንተን ቀላል ያደርገዋል። ለ GoAudit ምስጋና ይግባውና በአውታረ መረቡ ላይ የከርነል ደረጃን ስልቶች በቀጥታ ማግኘት ይችላሉ። በተጨማሪም፣ በአስተናጋጁ ላይ አነስተኛውን የክስተት ማጣሪያ ማንቃት ይችላሉ (ወይም ማጣሪያውን ሙሉ በሙሉ ያሰናክሉ)። በተመሳሳይ ጊዜ፣ GoAudit ለደህንነት ሲባል ብቻ የተነደፈ ፕሮጀክት ነው። ይህ መሳሪያ ለስርዓት ድጋፍ ወይም ለልማት ባለሙያዎች ሁለገብ መሳሪያ እንዲሆን የታሰበ ነው። በትላልቅ መሠረተ ልማቶች ውስጥ ያሉ ችግሮችን ለመቋቋም ይረዳል.

የGoAudit ስርዓት በጎላንግ ተጽፏል። ዓይነት-ደህንነቱ የተጠበቀ እና ከፍተኛ አፈጻጸም ያለው ቋንቋ ነው። GoAudit ከመጫንዎ በፊት የእርስዎ የጎላንግ ስሪት ከ1.7 በላይ መሆኑን ያረጋግጡ።

3 ግራፕላ

ፕሮጀክቱ ግራፕላ (የግራፍ ትንታኔ መድረክ) ባለፈው አመት መጋቢት ወር ላይ ወደ ክፍት ምንጭ ምድብ ተላልፏል። የደህንነት ጉዳዮችን ለመለየት፣ የኮምፒዩተር ፎረንሲክስ ለማካሄድ እና የአደጋ ዘገባዎችን ለማመንጨት በአንጻራዊነት አዲስ መድረክ ነው። አጥቂዎች ብዙውን ጊዜ እንደ ግራፍ ሞዴል በመጠቀም አንድን የተወሰነ ስርዓት በመቆጣጠር እና ከዚያ ስርዓት ጀምሮ ሌሎች የአውታረ መረብ ስርዓቶችን በማሰስ ይሰራሉ። ስለዚህ የስርዓቱ ተከላካዮች በስርዓተ-ፆታ ግንኙነት መካከል ያለውን ልዩነት ግምት ውስጥ በማስገባት በኔትወርክ ስርዓቶች የግንኙነት ግራፍ ሞዴል ላይ የተመሰረተ ዘዴን መጠቀማቸው በጣም ተፈጥሯዊ ነው. ግራፕላስ ከሎግ ሞዴል ይልቅ በግራፍ ሞዴል ላይ የተመሰረተ የአደጋ ማወቂያ እና ምላሽ እርምጃዎችን ለመተግበር መሞከሩን ያሳያል።

የግራፕላ መሳሪያው ከደህንነት ጋር የተያያዙ ምዝግብ ማስታወሻዎችን (Sysmon logs ወይም plain JSON logs) ወስዶ ወደ ንዑስ ግራፍ ይቀይራቸዋል (ለእያንዳንዱ መስቀለኛ መንገድ "የማንነት መረጃ" ይገልፃል። ከዚያ በኋላ, ንኡስ ስዕሎቹን ወደ አጠቃላይ ግራፍ (ማስተር ግራፍ) ያዋህዳል, ይህም በተተነተኑ አካባቢዎች ውስጥ የተከናወኑ ድርጊቶችን ይወክላል. ከዚያ ግራፕል ያልተለመዱ ነገሮችን እና አጠራጣሪ ንድፎችን ለመለየት "የአጥቂ ፊርማዎችን" በመጠቀም በተገኘው ግራፍ ላይ አናላይዎችን ያስኬዳል። ተንታኙ አጠራጣሪ ንዑስ ግራፍ ሲያገኝ፣ Grapl ለመመርመር የተሳትፎ ግንባታን ይፈጥራል። ተሳትፎ የፓይዘን ክፍል ነው፣ ለምሳሌ በAWS አካባቢ ውስጥ በተዘረጋው የጁፒተር ማስታወሻ ደብተር ውስጥ ሊጫን ይችላል። ግራፕሉ በግራፍ መስፋፋት በኩል ለክስተቱ ምርመራ የመረጃ አሰባሰብን ማሳደግ ይችላል።

በ Grapl የተሻለ ለመሆን ከፈለጉ, መመልከት ይችላሉ ይህም አንድ አስደሳች ቪዲዮ ከBSides Las Vegas 2019 አፈጻጸም የተቀዳ ነው።

4 OSSEC

OSSEC በ2004 የተመሰረተ ፕሮጀክት ነው። ይህ ፕሮጀክት፣ በአጠቃላይ፣ ለአስተናጋጅ ትንተና እና ጣልቃ ገብነትን ለመለየት የተነደፈ የክፍት ምንጭ የደህንነት ክትትል መድረክ ተብሎ ሊገለጽ ይችላል። OSSEC በዓመት ከ500000 ጊዜ በላይ ይወርዳል። ይህ መድረክ በዋናነት እንደ አገልጋይ ጣልቃ ገብነት ማወቂያ መሳሪያ ሆኖ ያገለግላል። ከዚህም በላይ ስለ ሁለቱም የአካባቢ እና የደመና ስርዓቶች እየተነጋገርን ነው. OSSEC እንዲሁ ብዙውን ጊዜ የክትትል ምዝግብ ማስታወሻዎችን ለመመርመር እና ፋየርዎሎችን ለመተንተን ፣የወረራ ማወቂያ ስርዓቶችን ፣ድር አገልጋዮችን እና የማረጋገጫ ምዝግብ ማስታወሻዎችን ለመመርመር እንደ መሳሪያ ያገለግላል።

OSSEC በአስተናጋጅ ላይ የተመሰረተ ጣልቃገብነት ማወቂያ ስርዓት (ኤችአይዲኤስ) ከደህንነት ክስተት አስተዳደር (ሲም) እና ከደህንነት መረጃ እና የክስተት አስተዳደር (SIEM) ጋር ያጣምራል። OSSEC እንዲሁ የፋይሎችን ትክክለኛነት በቅጽበት መከታተል ይችላል። ይህ ለምሳሌ የዊንዶውስ መዝገብ ቤትን መከታተል, rootkits መፈለግ ነው. OSSEC ስለተገኙ ችግሮች በቅጽበት ለባለድርሻ አካላት ማሳወቅ ይችላል እና የተገኙ ስጋቶችን በፍጥነት ምላሽ ለመስጠት ይረዳል። ይህ መድረክ ሊኑክስን፣ ፍሪቢኤስዲ፣ ኦፕንቢኤስዲ እና ሶላሪስን ጨምሮ የማይክሮሶፍት ዊንዶውስ እና በጣም ዘመናዊ ዩኒክስ መሰል ስርዓቶችን ይደግፋል።

የ OSSEC መድረክ ማዕከላዊ የቁጥጥር አካል፣ ከተወካዮች መረጃን ለመቀበል እና ለመከታተል የሚያገለግል ሥራ አስኪያጅ (በቁጥጥር ስር ያሉ ትናንሽ ፕሮግራሞች በስርዓቶች ላይ የተጫኑ) ያካትታል። ሥራ አስኪያጁ የፋይሎችን ትክክለኛነት ለማረጋገጥ የሚያገለግል የውሂብ ጎታ በሚያስቀምጥ ሊኑክስ ሲስተም ላይ ተጭኗል። እንዲሁም የክስተቶች እና የስርዓት ኦዲት ውጤቶችን መዝገቦችን እና መዝገቦችን ይይዛል።

የ OSSEC ፕሮጀክት በአሁኑ ጊዜ በአቶሚኮርፕ ይደገፋል። ኩባንያው ነፃ የክፍት ምንጭ ሥሪትን ያዘጋጃል፣ እና በተጨማሪ፣ ያቀርባል ተዘርግቷል የምርት የንግድ ስሪት. እዚህ የ OSSEC ፕሮጀክት አስተዳዳሪ ስለ ስርዓቱ የቅርብ ጊዜ ስሪት የሚናገርበት ፖድካስት - OSSEC 3.0. በተጨማሪም ስለ ፕሮጀክቱ ታሪክ እና በኮምፒዩተር ደህንነት መስክ ጥቅም ላይ ከሚውሉት ዘመናዊ የንግድ ስርዓቶች እንዴት እንደሚለይ ይናገራል.

5. መርካት

ሱራካታ የኮምፒዩተር ደህንነት ዋና ችግሮችን ለመፍታት ያተኮረ ክፍት ምንጭ ፕሮጀክት ነው። በተለይም የጠለፋ ማወቂያ ስርዓት, የጠለፋ መከላከያ ስርዓት እና የአውታረ መረብ ደህንነት መከታተያ መሳሪያዎችን ያካትታል.

ይህ ምርት በ 2009 ተጀመረ. ሥራው በደንቦች ላይ የተመሰረተ ነው. ያም ማለት, እሱን የሚጠቀም ሰው አንዳንድ የአውታረ መረብ ትራፊክ ባህሪያትን ለመግለጽ እድሉ አለው. ደንቡ ከተቀሰቀሰ, ሱሪካታ ማሳወቂያን ያመነጫል, አጠራጣሪውን ግንኙነት ይገድባል ወይም ይሰብራል, ይህም እንደገና, በተቀመጡት ደንቦች ላይ የተመሰረተ ነው. ኘሮጀክቱ ባለብዙ ክሮች ንባብንም ይደግፋል። ይህም ከፍተኛ መጠን ያለው ትራፊክ በሚሸከሙ ኔትወርኮች ውስጥ ብዙ ቁጥር ያላቸውን ደንቦች በፍጥነት ማካሄድ ያስችላል። ለባለብዙ-ክር ድጋፍ ምስጋና ይግባውና አንድ ተራ አገልጋይ በ 10 Gb / s ፍጥነት ትራፊክን በተሳካ ሁኔታ መተንተን ይችላል። በተመሳሳይ ጊዜ አስተዳዳሪው ለትራፊክ ትንተና የሚያገለግሉትን ደንቦች ስብስብ መገደብ የለበትም. ሱሪካታ ፋይሎችን ሃሽንግ እና ማውጣትን ይደግፋል።

ሱሪካታ በመደበኛ አገልጋዮች ላይ ወይም እንደ AWS ባሉ ምናባዊ ማሽኖች ላይ በቅርቡ ወደ ምርቱ የተጨመረ ባህሪን በመጠቀም እንዲሰራ ሊዋቀር ይችላል። የትራፊክ-ክትትል.

ፕሮጀክቱ ውስብስብ እና ዝርዝር ስጋት የፊርማ ትንተና አመክንዮ ለመፍጠር የሚያገለግሉ የሉአ ስክሪፕቶችን ይደግፋል።

የሱሪካታ ፕሮጀክት የሚተዳደረው በክፍት መረጃ ደህንነት ፋውንዴሽን (OISF) ነው።

6. ዚክ (ብሮ)

እንደ ሱሪካታ ፣ Zeek (ይህ ፕሮጀክት ቀደም ሲል ብሮ ተብሎ የሚጠራ ሲሆን በ BroCon 2018 ዝግጅት ላይ ዚክ ተብሎ ተሰይሟል) እንዲሁም እንደ አጠራጣሪ ወይም አደገኛ እንቅስቃሴዎች ያሉ ያልተለመዱ ነገሮችን ለመለየት የሚያስችል የወረራ ማወቂያ ስርዓት እና የአውታረ መረብ ደህንነት መከታተያ መሳሪያ ነው። ዜክ ከባህላዊ መታወቂያዎች የሚለየው በዚህ፣ ልዩ ሁኔታዎችን ከሚያውቁ ደንብ ላይ ከተመሰረቱ ስርዓቶች በተለየ፣ ዚክ በአውታረ መረቡ ላይ ካለው ነገር ጋር የተያያዘ ሜታዳታንም ይይዛል። ይህ የሚደረገው ያልተለመደ የአውታረ መረብ ባህሪን አውድ የበለጠ ለመረዳት ነው። ይህ ለምሳሌ የኤችቲቲፒ ጥሪን ወይም የደህንነት የምስክር ወረቀቶችን የመለዋወጥ ሂደትን ሲመረምር ፕሮቶኮሉን፣ የፓኬት ራስጌዎችን፣ የጎራ ስሞችን መመልከት ያስችላል።

ዚክን እንደ የአውታረ መረብ ደህንነት መሳሪያ ከወሰድን ፣ ከዚያ በፊት ወይም በአደጋው ​​ወቅት ስለተፈጠረው ነገር በመማር አንድ ስፔሻሊስት አንድን ክስተት ለመመርመር እድል ይሰጣል ማለት እንችላለን። ዚክ የኔትወርክ ትራፊክ መረጃን ወደ ከፍተኛ ደረጃ ክስተቶች ይለውጣል እና ከስክሪፕት አስተርጓሚ ጋር አብሮ ለመስራት ያስችላል። አስተርጓሚው ከክስተቶች ጋር ለመግባባት እና እነዚህ ክስተቶች ከአውታረ መረብ ደህንነት አንፃር ምን ማለት እንደሆነ በትክክል ለማወቅ የፕሮግራም አወጣጥ ቋንቋን ይደግፋል። የዜክ ፕሮግራሚንግ ቋንቋ በተወሰነ ድርጅት እንደ አስፈላጊነቱ የሜታዳታ ትርጓሜን ለማበጀት ሊያገለግል ይችላል። የ AND፣ OR እና NOT ኦፕሬተሮችን በመጠቀም ውስብስብ ሎጂካዊ ሁኔታዎችን እንድትገነቡ ይፈቅድልሃል። ይህ ተጠቃሚዎች አካባቢያቸው እንዴት እንደሚተነተን የማበጀት ችሎታ ይሰጣል። እውነት ነው፣ ከሱሪካታ ጋር ሲወዳደር ዚክ በደህንነት ስጋቶች ላይ መረጃ ሲያደርግ በጣም የተወሳሰበ መሳሪያ ሊመስል እንደሚችል ልብ ሊባል ይገባል።

ስለ ዘይክ ብዙ ዝርዝሮችን ከፈለጉ እባክዎን ያነጋግሩ ይህ ቪዲዮ።

7. ፓንደር

Panther ለቀጣይ የደህንነት ክትትል ኃይለኛ፣ ደመና-ቤተኛ መድረክ ነው። በቅርቡ ወደ ክፍት ምንጭ ምድብ ተላልፏል። በፕሮጀክቱ መነሻ ላይ ዋናው አርክቴክት ነው የዥረት ማንቂያ የመጽሔቶች አውቶማቲክ ትንተና መፍትሄ ነው፣ ኮዱ በኤርቢንቢ የተገኘ ነው። Panther ለተጠቃሚው በሁሉም አከባቢዎች ውስጥ ያሉትን ስጋቶች በመሀል አግኝቶ ምላሽ እንዲሰጥ አንድ ነጠላ ስርዓት ይሰጣል። ይህ ስርዓት በአገልግሎት መስጫው መጠን ማደግ ይችላል። የውሸት አወንታዊ ውጤቶችን ለመቀነስ እና ለደህንነት ባለሙያዎች አላስፈላጊ የስራ ጫናን ለመቀነስ ግልጽ የሆኑ የመወሰን ህጎችን በመጠቀም ስጋትን ማወቂያ ይደራጃል።

የፓንደር ዋና ዋና ባህሪያት መካከል የሚከተሉት ይገኙበታል:

• ምዝግብ ማስታወሻዎችን በመተንተን ያልተፈቀደ የሀብቶች መዳረሻን ማወቅ።
• የደህንነት ጉዳዮችን የሚያመለክቱ አመላካቾችን በመፈለግ የዛቻ ቅኝት ተተግብሯል። ፍለጋው የሚካሄደው ደረጃውን የጠበቀ የፓንተር መረጃ መስኮችን በመጠቀም ነው።
• የ SOC/PCI/HIPAA ማክበርን በመጠቀም የስርዓት ማረጋገጫ የተከተተ የፓንደር ዘዴዎች.
• ከተበዘበዘ ከባድ ችግር ሊያስከትሉ የሚችሉ የማዋቀር ስህተቶችን በራስ ሰር በማስተካከል የደመና ሃብቶችዎን ይጠብቁ።

Panther AWS CloudFormationን በመጠቀም በድርጅቱ AWS ደመና ውስጥ ተዘርግቷል። ይህ ተጠቃሚው ሁልጊዜ የእሱን ውሂብ እንዲቆጣጠር ያስችለዋል።

ውጤቶች

የስርዓቶችን ደህንነት መከታተል በአሁኑ ጊዜ በጣም አስፈላጊው ተግባር ነው። ክፍት ምንጭ መሳሪያዎች ሁሉንም አይነት መጠን ያላቸው ኩባንያዎች ይህንን ችግር እንዲፈቱ ያግዛሉ, ብዙ እድሎችን እና ምንም ወጪ ወይም ነጻ አይደሉም.

ውድ አንባቢዎች! ምን ዓይነት የደህንነት መከታተያ መሳሪያዎችን ትጠቀማለህ?

ምንጭ: hab.com