Ang kaylap nga pagsagop sa cloud computing nakatabang sa mga kompanya sa pagpadako sa ilang negosyo. Apan ang paggamit sa bag-ong mga plataporma nagpasabot usab sa pagtumaw sa mga bag-ong hulga. Ang pagsuporta sa imong kaugalingong team sulod sa organisasyon nga responsable sa pagmonitor sa seguridad sa mga serbisyo sa cloud dili sayon nga buluhaton. Ang kasamtangan nga mga himan sa pagmonitor mahal ug hinay. Sila, sa usa ka sukod, lisud sa pagdumala kung kinahanglan nimo nga masiguro ang seguridad sa usa ka dako nga imprastraktura sa panganod. Ang mga kompanya nga nagtan-aw sa pagpadayon sa ilang seguridad sa panganod sa taas nga lebel nanginahanglan mga himan nga kusgan, flexible, ug masabtan nga labaw sa kung unsa ang magamit kaniadto. Dinhi diin ang mga teknolohiya sa open source magamit kaayo, nga makatabang sa pagtipig sa mga badyet alang sa seguridad ug gimugna sa mga espesyalista nga nahibal-an bahin sa ilang negosyo.
Ang artikulo, ang paghubad nga among gipatik karon, naghatag usa ka kinatibuk-ang panan-aw sa 7 nga bukas nga gigikanan nga mga himan alang sa pag-monitor sa seguridad sa mga sistema sa panganod. Kini nga mga himan gidisenyo aron mapanalipdan batok sa mga hacker ug cybercriminals pinaagi sa pag-ila sa mga anomaliya ug dili luwas nga mga kalihokan.
1. Osquery
usa ka sistema alang sa ubos nga lebel nga pag-monitor ug pagtuki sa mga operating system nga nagtugot sa mga propesyonal sa seguridad sa pagpahigayon sa komplikadong data mining gamit ang SQL. Ang Osquery framework mahimong modagan sa Linux, macOS, Windows, ug FreeBSD. Gipresentar niini ang operating system (OS) isip usa ka taas nga performance relational database. Gitugotan niini ang mga propesyonal sa seguridad sa pagsuhid sa OS pinaagi sa pagpatuman sa mga pangutana sa SQL. Pananglitan, gamit ang usa ka pangutana, mahimo nimong mahibal-an ang bahin sa mga proseso sa pagpadagan, bahin sa gikarga nga mga module sa kernel, bahin sa bukas nga koneksyon sa network, bahin sa gi-install nga mga extension sa browser, bahin sa mga panghitabo sa hardware, bahin sa mga kantidad sa hash sa file.
Ang Osquery framework gihimo sa Facebook. Ang code niini giablihan sa 2014, human ang kompanya nakaamgo nga dili lamang ang kompanya mismo ang nanginahanglan mga himan aron mamonitor ang ubos nga lebel nga mekanismo sa mga operating system. Sukad niadto, ang Osquery gigamit na sa mga eksperto gikan sa mga kompanya sama sa Dactiv, Google, Kolide, Trail of Bits, Uptycs, ug daghan pa. Bag-o lang kini nga ang Linux Foundation ug Facebook maghimo usa ka pundo aron suportahan ang Osquery.
Ang host monitoring daemon sa Osquery, nga gitawag og osqueryd, nagtugot kanimo sa pag-iskedyul sa mga pangutana nga mangolekta og datos gikan sa tibuok nga imprastraktura sa imong organisasyon. Ang daemon nagkolekta sa mga resulta sa pangutana ug nagmugna og mga log nga nagpakita sa mga kausaban sa kahimtang sa imprastraktura. Makatabang kini sa mga propesyonal sa seguridad nga magpadayon sa pagsunod sa kahimtang sa mga kalihokan sa sistema ug labi ka mapuslanon alang sa pag-ila sa mga anomaliya. Ang mga kapabilidad sa log aggregation sa Osquery mahimong magamit aron mapadali ang pagpangita alang sa nahibal-an ug wala mailhi nga malware, ingon man sa pag-ila kung diin ang mga manunulong nakasulod sa sistema ug aron makit-an ang mga programa nga ilang gi-install. materyal, diin makit-an nimo ang mga detalye bahin sa pagtuki sa anomaliya gamit ang Osquery.
2.GoAudit
sistema naglangkob sa duha ka nag-unang mga sangkap. Ang una mao ang pipila ka kernel-level code nga gidesinyo sa pag-intercept ug pagmonitor sa mga tawag sa sistema. Ang ikaduha nga bahin mao ang usa ka user-space daemon nga gitawag . Kini ang responsable sa pagsulat sa mga resulta sa pag-audit sa disk. , usa ka sistema nga gihimo sa kompanya ug gipagawas sa 2016 gituyo aron ilisan ang auditd. Gipauswag niini ang mga kapabilidad sa pag-log pinaagi sa pag-convert sa mga mensahe sa multi-line nga panghitabo nga namugna sa sistema sa pag-audit sa Linux ngadto sa usa ka JSON blobs, nga nagpadali sa pag-parse. Salamat sa GoAudit, direkta nimong ma-access ang mga mekanismo sa lebel sa kernel sa network. Dugang pa, mahimo nimong palihokon ang gamay nga pagsala sa panghitabo sa host mismo (o pag-disable sa hingpit nga pagsala). Sa parehas nga oras, ang GoAudit usa ka proyekto nga gidisenyo dili lamang alang sa seguridad. Kini nga himan gituyo aron mahimong usa ka multifunctional nga himan alang sa suporta sa sistema o mga propesyonal sa pagpalambo. Nakatabang kini sa pag-atubang sa mga problema sa dagkong mga imprastraktura.
Ang sistema sa GoAudit gisulat sa Golang. Kini usa ka matang nga luwas ug taas ang performance nga pinulongan. Sa dili pa i-install ang GoAudit, siguruha nga ang imong bersyon sa Golang mas taas kaysa 1.7.
3 Grapl
Ang proyekto (Graph Analytics Platform) gibalhin ngadto sa open source category niadtong Marso sa miaging tuig. Kini usa ka bag-o nga plataporma alang sa pag-ila sa mga isyu sa seguridad, alang sa pagpahigayon sa computer forensics ug alang sa pagmugna og mga taho sa insidente. Ang mga tig-atake kanunay nga nagtrabaho gamit ang usa ka butang sama sa usa ka modelo sa graph, nakuha ang kontrol sa usa ka partikular nga sistema ug nagsuhid sa ubang mga sistema sa network sugod sa kana nga sistema. Busa, natural nga ang mga tigdepensa sa sistema mogamit usab usa ka mekanismo nga gibase sa modelo sa graph nga koneksyon sa mga sistema sa network, nga gikonsiderar ang mga lahi sa mga relasyon tali sa mga sistema. Gipakita sa Grapl ang pagsulay sa paggamit sa pagtuki sa insidente ug mga lakang sa pagtubag base sa usa ka modelo sa graph kaysa usa ka modelo sa log.
Ang Grapl tool nagkuha og security related logs (Sysmon logs o plain JSON logs) ug gi-convert kini ngadto sa subgraphs (pagpasabot sa "identity information" sa matag node). Pagkahuman niana, gikombinar niini ang mga subgraph ngadto sa usa ka kinatibuk-ang graph (Master Graph), nga nagrepresentar sa mga aksyon nga gihimo sa gi-analisar nga mga palibot. Gipadagan dayon sa Grapl ang mga Analyzer sa resulta nga graph gamit ang "mga pirma sa pag-atake" aron mahibal-an ang mga anomaliya ug mga kadudahang pattern. Kung ang parser nakamatikod sa usa ka kadudahan nga subgraph, ang Grapl nagmugna og usa ka Engagement construct alang sa pag-imbestiga. Ang pag-apil usa ka klase sa Python nga mahimong i-load sa, pananglitan, usa ka Jupyter Notebook nga gi-deploy sa usa ka palibot sa AWS. Ang Grapl makahimo usab sa pagpadako sa koleksyon sa impormasyon alang sa imbestigasyon sa insidente pinaagi sa pagpalapad sa graph.
Kung gusto nimo nga mahimong mas maayo sa Grapl, mahimo nimong tan-awon Ang usa ka makapaikag nga video usa ka pagrekord sa usa ka pasundayag gikan sa BSides Las Vegas 2019.
4 OSSEC
usa ka proyekto nga gitukod kaniadtong 2004. Kini nga proyekto, sa kinatibuk-an, mahimong gihulagway nga usa ka open source security monitoring platform nga gidisenyo alang sa host analysis ug intrusion detection. Ang OSSEC gina-download sobra sa 500000 ka beses kada tuig. Kini nga plataporma kasagarang gigamit ingon usa ka himan sa pag-detect sa intrusion sa server. Dugang pa, naghisgot kami bahin sa lokal ug mga sistema sa panganod. Ang OSSEC kanunay usab nga gigamit ingon usa ka himan alang sa pagsusi sa mga log sa pagmonitor ug pag-analisar sa mga firewall, mga sistema sa pag-detect sa intrusion, mga web server, ug alang sa pagsusi sa mga log sa pag-authenticate.
Ang OSSEC naghiusa sa Host-Based Intrusion Detection System (HIDS) uban sa Security Incident Management (SIM) ug Security Information and Event Management (SIEM). Ang OSSEC makahimo usab sa pag-monitor sa integridad sa mga file sa tinuod nga panahon. Kini, pananglitan, pag-monitor sa Windows registry, pag-ila sa mga rootkit. Ang OSSEC makahimo sa pagpahibalo sa mga hingtungdan bahin sa mga nakit-an nga mga problema sa tinuud nga oras ug makatabang sa dali nga pagtubag sa mga nakit-an nga hulga. Kini nga plataporma nagsuporta sa Microsoft Windows ug kadaghanan sa modernong Unix-like system, lakip ang Linux, FreeBSD, OpenBSD, ug Solaris.
Ang OSSEC nga plataporma naglangkob sa usa ka sentral nga kontrol nga entidad, usa ka manedyer nga gigamit sa pagdawat ug pagmonitor sa impormasyon gikan sa mga ahente (gagmay nga mga programa nga gibutang sa mga sistema nga pagabantayan). Ang manedyer gi-install sa usa ka sistema sa Linux nga nagtipig sa usa ka database nga gigamit sa pagsusi sa integridad sa mga file. Gitipigan usab niini ang mga troso ug mga rekord sa mga panghitabo ug mga resulta sa pag-audit sa sistema.
Ang proyekto sa OSSEC sa pagkakaron gisuportahan sa Atomicorp. Ang kompanya nag-curate sa usa ka libre nga open source nga bersyon, ug, dugang pa, mga tanyag komersyal nga bersyon sa produkto. usa ka podcast diin ang tagdumala sa proyekto sa OSSEC naghisgot bahin sa labing bag-ong bersyon sa sistema - OSSEC 3.0. Naghisgot usab kini bahin sa kasaysayan sa proyekto, ug kung giunsa kini lahi sa modernong mga sistema sa komersyo nga gigamit sa natad sa seguridad sa kompyuter.
5. meerkat
mao ang usa ka open source nga proyekto nga naka-focus sa pagsulbad sa mga nag-unang problema sa computer seguridad. Sa partikular, naglakip kini sa intrusion detection system, intrusion prevention system, ug network security monitoring tool.
Kini nga produkto gilusad niadtong 2009. Ang iyang trabaho gibase sa mga lagda. Kana mao, ang usa nga naggamit niini adunay higayon sa paghulagway sa pipila ka mga bahin sa trapiko sa network. Kung ang lagda na-trigger, nan ang Suricata nagmugna og usa ka pahibalo, nagbabag o nagbungkag sa kadudahang koneksyon, nga, pag-usab, nagdepende sa mga lagda nga gitakda. Gisuportahan usab sa proyekto ang multithreading. Kini nagpaposible nga dali nga maproseso ang daghang mga lagda sa mga network nga nagdala og daghang trapiko. Salamat sa suporta sa multithreading, ang usa ka ordinaryo nga server makahimo sa malampuson nga pag-analisar sa trapiko sa tulin nga 10 Gb / s. Sa samang higayon, ang tagdumala dili kinahanglan nga limitahan ang hugpong sa mga lagda nga gigamit alang sa pagtuki sa trapiko. Gisuportahan usab sa Suricata ang pag-hash ug pagkuha sa mga file.
Ang Suricata mahimong ma-configure aron modagan sa mga regular nga server o sa mga virtual nga makina, sama sa AWS, gamit ang usa ka bahin nga bag-o lang gidugang sa produkto .
Gisuportahan sa proyekto ang mga script sa Lua nga magamit sa paghimo og komplikado ug detalyado nga lohika sa pagtuki sa pirma sa hulga.
Ang proyekto sa Suricata gidumala sa Open Information Security Foundation (OISF).
6. Zeek (Bro)
Sama sa Suricata, (Kini nga proyekto kaniadto gitawag og Bro ug giilisan og ngalan nga Zeek sa BroCon 2018 nga kalihokan) kay usa usab ka intrusion detection system ug network security monitoring tool nga makamatikod sa mga anomaliya sama sa mga kadudahang o makuyaw nga mga kalihokan. Ang Zeek lahi sa tradisyonal nga IDS nga, dili sama sa mga sistema nga nakabase sa lagda nga nakamatikod sa mga eksepsiyon, nakuha usab ni Zeek ang metadata nga may kalabutan sa kung unsa ang nahitabo sa network. Gihimo kini aron mas masabtan ang konteksto sa dili kasagaran nga pamatasan sa network. Kini nagtugot, pananglitan, sa pag-analisar sa usa ka HTTP nga tawag o usa ka pamaagi sa pagbayloay sa mga sertipiko sa seguridad, sa pagtan-aw sa protocol, sa mga packet header, sa mga domain name.
Kung atong isipon ang Zeek isip usa ka himan sa seguridad sa network, nan makaingon kita nga kini naghatag sa usa ka espesyalista sa oportunidad sa pag-imbestigar sa usa ka insidente pinaagi sa pagkat-on mahitungod sa unsay nahitabo sa wala pa o sa panahon sa insidente. Gibag-o usab ni Zeek ang datos sa trapiko sa network ngadto sa taas nga lebel nga mga panghitabo ug gipaposible nga magtrabaho kauban ang usa ka tighubad sa script. Gisuportahan sa tighubad ang programming language nga gigamit aron makig-uban sa mga panghitabo ug aron mahibal-an kung unsa gyud ang gipasabut niini nga mga panghitabo sa termino sa seguridad sa network. Ang Zeek programming language mahimong gamiton aron ipahiangay ang interpretasyon sa metadata kung gikinahanglan sa usa ka partikular nga organisasyon. Gitugotan ka niini nga magtukod mga komplikado nga lohikal nga kahimtang gamit ang AND, O ug DILI operator. Naghatag kini sa mga tiggamit og katakus sa pag-customize kung giunsa pag-analisar ang ilang mga palibot. Tinuod, kinahanglan nga matikdan nga, kung itandi sa Suricata, si Zeek mahimo’g ingon usa ka labi ka komplikado nga himan kung nagdumala sa paniktik sa mga hulga sa seguridad.
Kung interesado ka sa dugang nga mga detalye bahin sa Zeek, palihug kontaka video.
7. Panther
usa ka gamhanan, lumad nga panganod nga plataporma alang sa padayon nga pagmonitor sa seguridad. Gibalhin kini sa kategorya nga open source bag-o lang. Sa sinugdanan sa proyekto mao ang nag-unang arkitekto maoy usa ka solusyon alang sa automated nga pagtuki sa mga magasin, ang code niini open-sourced sa Airbnb. Ang Panther naghatag sa user og usa ka sistema aron sa sentral nga pag-ila ug pagtubag sa mga hulga sa tanang palibot. Kini nga sistema makahimo sa pagtubo sa gidak-on sa imprastraktura nga giserbisyuhan. Ang pagtuki sa hulga giorganisar gamit ang transparent nga mga lagda sa deterministiko aron makunhuran ang mga sayup nga positibo ug makunhuran ang dili kinahanglan nga trabaho sa mga propesyonal sa seguridad.
Lakip sa mga nag-unang bahin sa Panther mao ang mga musunud:
- Pagtuki sa dili awtorisado nga pag-access sa mga kapanguhaan pinaagi sa pag-analisar sa mga troso.
- Gipatuman ang pag-scan sa hulga pinaagi sa pagpangita sa mga troso alang sa mga timailhan nga nagpaila sa mga isyu sa seguridad. Ang pagpangita gihimo gamit ang standardized Panter data fields.
- Pagsusi sa sistema alang sa pagsunod sa SOC/PCI/HIPAA gamit Mga mekanismo sa panther.
- Panalipdi ang imong mga kapanguhaan sa panganod pinaagi sa awtomatik nga pag-ayo sa mga sayup sa pag-configure nga, kung mapahimuslan, mahimong hinungdan sa mga seryoso nga problema.
Ang Panther gi-deploy sa AWS cloud sa usa ka organisasyon gamit ang AWS CloudFormation. Gitugotan niini ang tiggamit nga kanunay nga makontrol ang iyang datos.
Mga resulta
Ang pag-monitor sa seguridad sa mga sistema, karon, ang labing hinungdanon nga buluhaton. Ang mga himan sa bukas nga gigikanan makatabang sa mga kompanya sa tanan nga gidak-on nga masulbad kini nga problema, naghatag daghang mga oportunidad ug halos wala’y gasto o libre.
Minahal nga magbabasa! Unsa nga mga himan sa pagmonitor sa seguridad ang imong gigamit?
Source: www.habr.com