🥇7 ክፍት ምንጭ የክላውድ ደህንነት መከታተያ መሳሪያዎች ስለ ማወቅ ያለብዎት

የክላውድ ኮምፒዩቲንግን በስፋት መቀበሉ ኩባንያዎች ንግዳቸውን እንዲያሳድጉ ይረዳል። ነገር ግን አዳዲስ መድረኮችን መጠቀምም አዳዲስ ስጋቶች መፈጠር ማለት ነው። የደመና አገልግሎቶችን ደህንነት የመከታተል ኃላፊነት ባለው ድርጅት ውስጥ የራስዎን ቡድን መደገፍ ቀላል ስራ አይደለም። አሁን ያሉት የክትትል መሳሪያዎች ውድ እና ዘገምተኛ ናቸው. መጠነ ሰፊ የደመና መሠረተ ልማትን ደህንነት ማረጋገጥ ከፈለጉ በተወሰነ ደረጃ ለማስተዳደር አስቸጋሪ ናቸው። የደመና ደህንነታቸውን በከፍተኛ ደረጃ ለመጠበቅ የሚፈልጉ ኩባንያዎች ከዚህ በፊት ከነበሩት በላይ ኃይለኛ፣ ተለዋዋጭ እና ሊረዱ የሚችሉ መሳሪያዎችን ይፈልጋሉ። ክፍት ምንጭ ቴክኖሎጂዎች ለደህንነት ሲባል በጀትን ለመቆጠብ የሚረዱ እና ስለንግድ ስራቸው ብዙ በሚያውቁ ልዩ ባለሙያዎች የተፈጠሩ በጣም ምቹ የሆኑ ቴክኖሎጂዎች እዚህ ላይ ነው።

ዛሬ የምናተምነው ጽሑፉ የደመና ስርዓቶችን ደህንነት ለመቆጣጠር የ 7 ክፍት ምንጭ መሳሪያዎችን አጠቃላይ እይታ ይሰጣል። እነዚህ መሳሪያዎች ያልተለመዱ ነገሮችን እና አደገኛ እንቅስቃሴዎችን በመለየት ከሰርጎ ገቦች እና ከሳይበር ወንጀለኞች ለመጠበቅ የተነደፉ ናቸው።

1. ኦስኬሪ

ኦስክሪ — የደህንነት ባለሙያዎች ውስብስብ የውሂብ ትንተና በSQL በመጠቀም እንዲያካሂዱ የሚያስችል ዝቅተኛ ደረጃ ያለው የክትትል እና የኦፕሬቲንግ ሲስተሞችን ትንተና የሚያደርግ ስርዓት ነው። የኦስኬሪ ማዕቀፍ ሊሰራ ይችላል Linux, macOS, Windows እና FreeBSD። ኦፕሬቲንግ ሲስተሙን (OS) እንደ ከፍተኛ አፈጻጸም ያለው የግንኙነት ዳታቤዝ ያቀርባል። ይህም የደህንነት ተመራማሪዎች የSQL ጥያቄዎችን በመፈጸም ስርዓተ ክወናውን እንዲመረምሩ ያስችላቸዋል። ለምሳሌ፣ አንድ ጥያቄ ስለ ሂደቶች፣ የተጫኑ የከርነል ሞጁሎች፣ ክፍት የአውታረ መረብ ግንኙነቶች፣ የተጫኑ የአሳሽ ቅጥያዎች፣ የሃርድዌር ክስተቶች እና የፋይል ሃሾች መረጃ ሊያሳይ ይችላል።

የ Osquery ማዕቀፍ የተፈጠረው በፌስቡክ ነው። የእሱ ኮድ በ 2014 ተከፍቶ ነበር, ኩባንያው ራሱ ብቻ ሳይሆን ዝቅተኛ ደረጃ የስርዓተ ክወና ዘዴዎችን ለመከታተል የሚያስፈልጉ መሳሪያዎች እንደነበሩ ከተገነዘበ በኋላ. ከዚያን ጊዜ ጀምሮ ኦስኬሪ እንደ Dactiv, Google, Kolide, Trail of Bits, Uptycs እና ሌሎች ብዙ ኩባንያዎች ባሉ ባለሙያዎች ጥቅም ላይ ውሏል. በቅርቡ ነበር። አስታወቀ ስለዚያ Linux ፋውንዴሽን እና ፌስቡክ ለኦስኬሪ የድጋፍ ፈንድ ለማቋቋም አቅደዋል።

Osqueryd ተብሎ የሚጠራው የኦስኬሪ አስተናጋጅ ክትትል ዴሞን ከድርጅትዎ መሠረተ ልማት መረጃ የሚሰበስቡ ጥያቄዎችን የጊዜ ሰሌዳ እንዲያስቀምጡ ይፈቅድልዎታል። ዴሞን የጥያቄ ውጤቶችን ይሰበስባል እና በመሠረተ ልማት ሁኔታ ላይ ለውጦችን የሚያንፀባርቁ ምዝግቦችን ይፈጥራል። ይህ የደህንነት ባለሙያዎች በስርዓቱ ውስጥ ያለውን የሁኔታዎች ሁኔታ እንዲያውቁ እና በተለይም ያልተለመዱ ነገሮችን ለመለየት ጠቃሚ ነው። የ Osquery's log aggregation ብቃቶች የሚታወቁትን እና ያልታወቁ ማልዌሮችን ፍለጋን ለማመቻቸት እንዲሁም ሰርጎ ገቦች ወደ ስርዓቱ የገቡበትን ቦታ ለመለየት እና የተጫኑትን ፕሮግራሞችን ለማግኘት ሊያገለግል ይችላል። እዚህ Osqueryን በመጠቀም ስለ anomaly ማወቂያ ዝርዝሮችን ማግኘት የሚችሉበት ቁሳቁስ።

2.GoAudit

ስርዓት ኦዲት Linux ሁለት ዋና ዋና ክፍሎችን ያካትታል. የመጀመሪያው የስርዓት ጥሪዎችን ለመጥለፍ እና ለመቆጣጠር የተነደፈ አንዳንድ የከርነል ደረጃ ኮድ ነው። ሁለተኛው አካል የተጠቃሚ-ስፔስ ዴሞን ይባላል ኦዲት ተደርጓል. የኦዲት ውጤቱን ወደ ዲስክ የመፃፍ ሃላፊነት አለበት. GoAudit, በድርጅቱ የተፈጠረ ስርዓት ትወርሱ በ2016 የተለቀቀው ኦዲትድን ለመተካት የተነደፈ ነው። በኦዲት ስርዓቱ የሚመነጩ ባለብዙ መስመር የክስተት መልዕክቶችን በመቀየር የሎግንግ ችሎታዎችን አሻሽሏል። Linuxወደ ነጠላ JSON BLOBs፣ ትንታኔን ቀላል ያደርጋል። GoAudit በአውታረ መረቡ ላይ ወደ ከርነል ደረጃ ሜካኒዝም ቀጥተኛ መዳረሻን ይፈቅዳል። በአስተናጋጁ ላይ አነስተኛ የክስተት ማጣሪያን ማንቃት (ወይም ማጣሪያን ሙሉ በሙሉ ማሰናከል) ይቻላል። GoAudit የደህንነት ፕሮጀክት ብቻ አይደለም። ለስርዓት ድጋፍ ወይም ለልማት ባለሙያዎች ባለብዙ ተግባር መሳሪያ ሆኖ የተነደፈ ነው። በትላልቅ መሠረተ ልማቶች ውስጥ ያሉ ችግሮችን ለመፍታት ይረዳል።

የGoAudit ስርዓት በጎላንግ ተጽፏል። ዓይነት-ደህንነቱ የተጠበቀ እና ከፍተኛ አፈጻጸም ያለው ቋንቋ ነው። GoAudit ከመጫንዎ በፊት የእርስዎ የጎላንግ ስሪት ከ1.7 በላይ መሆኑን ያረጋግጡ።

3 ግራፕላ

ፕሮጀክቱ ግራፕላ (የግራፍ ትንታኔ መድረክ) ባለፈው አመት መጋቢት ወር ላይ ወደ ክፍት ምንጭ ምድብ ተላልፏል። የደህንነት ጉዳዮችን ለመለየት፣ የኮምፒዩተር ፎረንሲክስ ለማካሄድ እና የአደጋ ዘገባዎችን ለማመንጨት በአንጻራዊነት አዲስ መድረክ ነው። አጥቂዎች ብዙውን ጊዜ እንደ ግራፍ ሞዴል በመጠቀም አንድን የተወሰነ ስርዓት በመቆጣጠር እና ከዚያ ስርዓት ጀምሮ ሌሎች የአውታረ መረብ ስርዓቶችን በማሰስ ይሰራሉ። ስለዚህ የስርዓቱ ተከላካዮች በስርዓተ-ፆታ ግንኙነት መካከል ያለውን ልዩነት ግምት ውስጥ በማስገባት በኔትወርክ ስርዓቶች የግንኙነት ግራፍ ሞዴል ላይ የተመሰረተ ዘዴን መጠቀማቸው በጣም ተፈጥሯዊ ነው. ግራፕላስ ከሎግ ሞዴል ይልቅ በግራፍ ሞዴል ላይ የተመሰረተ የአደጋ ማወቂያ እና ምላሽ እርምጃዎችን ለመተግበር መሞከሩን ያሳያል።

የግራፕላ መሳሪያው ከደህንነት ጋር የተያያዙ ምዝግብ ማስታወሻዎችን (Sysmon logs ወይም plain JSON logs) ወስዶ ወደ ንዑስ ግራፍ ይቀይራቸዋል (ለእያንዳንዱ መስቀለኛ መንገድ "የማንነት መረጃ" ይገልፃል። ከዚያ በኋላ, ንኡስ ስዕሎቹን ወደ አጠቃላይ ግራፍ (ማስተር ግራፍ) ያዋህዳል, ይህም በተተነተኑ አካባቢዎች ውስጥ የተከናወኑ ድርጊቶችን ይወክላል. ከዚያ ግራፕል ያልተለመዱ ነገሮችን እና አጠራጣሪ ንድፎችን ለመለየት "የአጥቂ ፊርማዎችን" በመጠቀም በተገኘው ግራፍ ላይ አናላይዎችን ያስኬዳል። ተንታኙ አጠራጣሪ ንዑስ ግራፍ ሲያገኝ፣ Grapl ለመመርመር የተሳትፎ ግንባታን ይፈጥራል። ተሳትፎ የፓይዘን ክፍል ነው፣ ለምሳሌ በAWS አካባቢ ውስጥ በተዘረጋው የጁፒተር ማስታወሻ ደብተር ውስጥ ሊጫን ይችላል። ግራፕሉ በግራፍ መስፋፋት በኩል ለክስተቱ ምርመራ የመረጃ አሰባሰብን ማሳደግ ይችላል።

በ Grapl የተሻለ ለመሆን ከፈለጉ, መመልከት ይችላሉ ይህም አንድ አስደሳች ቪዲዮ ከBSides Las Vegas 2019 አፈጻጸም የተቀዳ ነው።

4 OSSEC

OSSEC በ2004 የተመሰረተ ፕሮጀክት ነው። ይህ ፕሮጀክት፣ በአጠቃላይ፣ ለአስተናጋጅ ትንተና እና ጣልቃ ገብነትን ለመለየት የተነደፈ የክፍት ምንጭ የደህንነት ክትትል መድረክ ተብሎ ሊገለጽ ይችላል። OSSEC በዓመት ከ500000 ጊዜ በላይ ይወርዳል። ይህ መድረክ በዋናነት እንደ አገልጋይ ጣልቃ ገብነት ማወቂያ መሳሪያ ሆኖ ያገለግላል። ከዚህም በላይ ስለ ሁለቱም የአካባቢ እና የደመና ስርዓቶች እየተነጋገርን ነው. OSSEC እንዲሁ ብዙውን ጊዜ የክትትል ምዝግብ ማስታወሻዎችን ለመመርመር እና ፋየርዎሎችን ለመተንተን ፣የወረራ ማወቂያ ስርዓቶችን ፣ድር አገልጋዮችን እና የማረጋገጫ ምዝግብ ማስታወሻዎችን ለመመርመር እንደ መሳሪያ ያገለግላል።

OSSEC የአስተናጋጅ ላይ የተመሰረተ የጥቃት ማወቂያ ስርዓት (HIDS) ችሎታዎችን ከደህንነት ክስተት አስተዳደር (SIM) እና ከደህንነት መረጃ እና የክስተት አስተዳደር (SIEM) ስርዓት ጋር ያጣምራል። OSSEC እንደ መዝገብ ክትትል ያሉ የእውነተኛ ጊዜ የፋይል ታማኝነት ክትትልንም ያካትታል። Windowsየ rootkit ማወቂያ። OSSEC የተገኙ ችግሮችን በእውነተኛ ጊዜ ለባለድርሻ አካላት ማሳወቅ እና ለተገኙ ስጋቶች በፍጥነት ምላሽ ለመስጠት ይረዳል። ይህ መድረክ ማይክሮሶፍትን ይደግፋል Windows እና በጣም ዘመናዊ የሆኑ የዩኒክስ መሰል ስርዓቶችን ጨምሮ፣ Linux, FreeBSD፣ OpenBSD እና Solaris።

የ OSSEC መድረክ ማዕከላዊ የቁጥጥር አካል፣ አስተዳዳሪ፣ ከተወካዮች (በክትትል ስርዓቶቹ ላይ የተጫኑ ትናንሽ ፕሮግራሞች) መረጃን ለመቀበል እና ለመከታተል የሚያገለግል ማዕከላዊ የቁጥጥር አካልን ያካትታል። አስተዳዳሪው በ ላይ ተጭኗል Linux- የፋይል ታማኝነትን ለማረጋገጥ የሚያገለግል የውሂብ ጎታ የሚያከማች ስርዓት። እንዲሁም የክስተቶችን መዝገቦች እና መዝገቦችን እና የስርዓት ኦዲት ውጤቶችን ያከማቻል።

የ OSSEC ፕሮጀክት በአሁኑ ጊዜ በአቶሚኮርፕ ይደገፋል። ኩባንያው ነፃ የክፍት ምንጭ ሥሪትን ያዘጋጃል፣ እና በተጨማሪ፣ ያቀርባል ተዘርግቷል የምርት የንግድ ስሪት. እዚህ የ OSSEC ፕሮጀክት አስተዳዳሪ ስለ ስርዓቱ የቅርብ ጊዜ ስሪት የሚናገርበት ፖድካስት - OSSEC 3.0. በተጨማሪም ስለ ፕሮጀክቱ ታሪክ እና በኮምፒዩተር ደህንነት መስክ ጥቅም ላይ ከሚውሉት ዘመናዊ የንግድ ስርዓቶች እንዴት እንደሚለይ ይናገራል.

5. መርካት

ሱራካታ የኮምፒዩተር ደህንነት ዋና ችግሮችን ለመፍታት ያተኮረ ክፍት ምንጭ ፕሮጀክት ነው። በተለይም የጠለፋ ማወቂያ ስርዓት, የጠለፋ መከላከያ ስርዓት እና የአውታረ መረብ ደህንነት መከታተያ መሳሪያዎችን ያካትታል.

ይህ ምርት በ 2009 ተጀመረ. ሥራው በደንቦች ላይ የተመሰረተ ነው. ያም ማለት, እሱን የሚጠቀም ሰው አንዳንድ የአውታረ መረብ ትራፊክ ባህሪያትን ለመግለጽ እድሉ አለው. ደንቡ ከተቀሰቀሰ, ሱሪካታ ማሳወቂያን ያመነጫል, አጠራጣሪውን ግንኙነት ይገድባል ወይም ይሰብራል, ይህም እንደገና, በተቀመጡት ደንቦች ላይ የተመሰረተ ነው. ኘሮጀክቱ ባለብዙ ክሮች ንባብንም ይደግፋል። ይህም ከፍተኛ መጠን ያለው ትራፊክ በሚሸከሙ ኔትወርኮች ውስጥ ብዙ ቁጥር ያላቸውን ደንቦች በፍጥነት ማካሄድ ያስችላል። ለባለብዙ-ክር ድጋፍ ምስጋና ይግባውና አንድ ተራ አገልጋይ በ 10 Gb / s ፍጥነት ትራፊክን በተሳካ ሁኔታ መተንተን ይችላል። በተመሳሳይ ጊዜ አስተዳዳሪው ለትራፊክ ትንተና የሚያገለግሉትን ደንቦች ስብስብ መገደብ የለበትም. ሱሪካታ ፋይሎችን ሃሽንግ እና ማውጣትን ይደግፋል።

ሱሪካታ በመደበኛ አገልጋዮች ላይ ወይም እንደ AWS ባሉ ምናባዊ ማሽኖች ላይ በቅርቡ ወደ ምርቱ የተጨመረ ባህሪን በመጠቀም እንዲሰራ ሊዋቀር ይችላል። የትራፊክ-ክትትል.

ፕሮጀክቱ ውስብስብ እና ዝርዝር ስጋት የፊርማ ትንተና አመክንዮ ለመፍጠር የሚያገለግሉ የሉአ ስክሪፕቶችን ይደግፋል።

የሱሪካታ ፕሮጀክት የሚተዳደረው በክፍት መረጃ ደህንነት ፋውንዴሽን (OISF) ነው።

6. ዚክ (ብሮ)

እንደ ሱሪካታ ፣ Zeek (ይህ ፕሮጀክት ቀደም ሲል ብሮ ተብሎ የሚጠራ ሲሆን በ BroCon 2018 ዝግጅት ላይ ዚክ ተብሎ ተሰይሟል) እንዲሁም እንደ አጠራጣሪ ወይም አደገኛ እንቅስቃሴዎች ያሉ ያልተለመዱ ነገሮችን ለመለየት የሚያስችል የወረራ ማወቂያ ስርዓት እና የአውታረ መረብ ደህንነት መከታተያ መሳሪያ ነው። ዜክ ከባህላዊ መታወቂያዎች የሚለየው በዚህ፣ ልዩ ሁኔታዎችን ከሚያውቁ ደንብ ላይ ከተመሰረቱ ስርዓቶች በተለየ፣ ዚክ በአውታረ መረቡ ላይ ካለው ነገር ጋር የተያያዘ ሜታዳታንም ይይዛል። ይህ የሚደረገው ያልተለመደ የአውታረ መረብ ባህሪን አውድ የበለጠ ለመረዳት ነው። ይህ ለምሳሌ የኤችቲቲፒ ጥሪን ወይም የደህንነት የምስክር ወረቀቶችን የመለዋወጥ ሂደትን ሲመረምር ፕሮቶኮሉን፣ የፓኬት ራስጌዎችን፣ የጎራ ስሞችን መመልከት ያስችላል።

ዚክን እንደ የአውታረ መረብ ደህንነት መሳሪያ ከወሰድን ፣ ከዚያ በፊት ወይም በአደጋው ወቅት ስለተፈጠረው ነገር በመማር አንድ ስፔሻሊስት አንድን ክስተት ለመመርመር እድል ይሰጣል ማለት እንችላለን። ዚክ የኔትወርክ ትራፊክ መረጃን ወደ ከፍተኛ ደረጃ ክስተቶች ይለውጣል እና ከስክሪፕት አስተርጓሚ ጋር አብሮ ለመስራት ያስችላል። አስተርጓሚው ከክስተቶች ጋር ለመግባባት እና እነዚህ ክስተቶች ከአውታረ መረብ ደህንነት አንፃር ምን ማለት እንደሆነ በትክክል ለማወቅ የፕሮግራም አወጣጥ ቋንቋን ይደግፋል። የዜክ ፕሮግራሚንግ ቋንቋ በተወሰነ ድርጅት እንደ አስፈላጊነቱ የሜታዳታ ትርጓሜን ለማበጀት ሊያገለግል ይችላል። የ AND፣ OR እና NOT ኦፕሬተሮችን በመጠቀም ውስብስብ ሎጂካዊ ሁኔታዎችን እንድትገነቡ ይፈቅድልሃል። ይህ ተጠቃሚዎች አካባቢያቸው እንዴት እንደሚተነተን የማበጀት ችሎታ ይሰጣል። እውነት ነው፣ ከሱሪካታ ጋር ሲወዳደር ዚክ በደህንነት ስጋቶች ላይ መረጃ ሲያደርግ በጣም የተወሳሰበ መሳሪያ ሊመስል እንደሚችል ልብ ሊባል ይገባል።

ስለ ዘይክ ብዙ ዝርዝሮችን ከፈለጉ እባክዎን ያነጋግሩ ይህ ቪዲዮ።

7. ፓንደር

Panther ለቀጣይ የደህንነት ክትትል ኃይለኛ፣ ደመና-ቤተኛ መድረክ ነው። በቅርቡ ወደ ክፍት ምንጭ ምድብ ተላልፏል። በፕሮጀክቱ መነሻ ላይ ዋናው አርክቴክት ነው የዥረት ማንቂያ የመጽሔቶች አውቶማቲክ ትንተና መፍትሄ ነው፣ ኮዱ በኤርቢንቢ የተገኘ ነው። Panther ለተጠቃሚው በሁሉም አከባቢዎች ውስጥ ያሉትን ስጋቶች በመሀል አግኝቶ ምላሽ እንዲሰጥ አንድ ነጠላ ስርዓት ይሰጣል። ይህ ስርዓት በአገልግሎት መስጫው መጠን ማደግ ይችላል። የውሸት አወንታዊ ውጤቶችን ለመቀነስ እና ለደህንነት ባለሙያዎች አላስፈላጊ የስራ ጫናን ለመቀነስ ግልጽ የሆኑ የመወሰን ህጎችን በመጠቀም ስጋትን ማወቂያ ይደራጃል።

የፓንደር ዋና ዋና ባህሪያት መካከል የሚከተሉት ይገኙበታል:

ምዝግብ ማስታወሻዎችን በመተንተን ያልተፈቀደ የሀብቶች መዳረሻን ማወቅ።
የደህንነት ጉዳዮችን የሚያመለክቱ አመላካቾችን በመፈለግ የዛቻ ቅኝት ተተግብሯል። ፍለጋው የሚካሄደው ደረጃውን የጠበቀ የፓንተር መረጃ መስኮችን በመጠቀም ነው።
የ SOC/PCI/HIPAA ማክበርን በመጠቀም የስርዓት ማረጋገጫ የተከተተ የፓንደር ዘዴዎች.
ከተበዘበዘ ከባድ ችግር ሊያስከትሉ የሚችሉ የማዋቀር ስህተቶችን በራስ ሰር በማስተካከል የደመና ሃብቶችዎን ይጠብቁ።

Panther AWS CloudFormationን በመጠቀም በድርጅቱ AWS ደመና ውስጥ ተዘርግቷል። ይህ ተጠቃሚው ሁልጊዜ የእሱን ውሂብ እንዲቆጣጠር ያስችለዋል።