ʻO ka hoʻohana nui ʻana o ka cloud computing e kōkua i nā ʻoihana e hoʻonui i kā lākou ʻoihana. Akā ʻo ka hoʻohana ʻana i nā paepae hou ke ʻano o ka puka ʻana mai o nā mea hoʻoweliweli hou. ʻO ka mālama ʻana i kāu hui ponoʻī i loko o kahi hui kuleana no ka nānā ʻana i ka palekana o nā lawelawe kapuaʻi ʻaʻole ia he hana maʻalahi. He pipiʻi a lohi nā mea hana nānā i kēia manawa. He paʻakikī lākou i ka hoʻokele ʻana i ka wā e pili ana i ka hoʻopaʻa ʻana i nā ʻōnaehana ao nui. No ka mālama ʻana i kā lākou palekana kapuaʻi ma kahi kiʻekiʻe, pono nā ʻoihana i nā mea hana ikaika, maʻalahi, a me ka intuitive e ʻoi aku ma mua o ka mea i loaʻa ma mua. ʻO kēia kahi e hiki ai i nā ʻenehana open source ke kōkua nui i ka mālama ʻana i nā kālā palekana a hana ʻia e nā loea i ʻike nui i kā lākou ʻoihana.
ʻO ka ʻatikala, ka unuhi a mākou e paʻi nei i kēia lā, hāʻawi i kahi hiʻohiʻona o 7 mau mea hana open source no ka nānā ʻana i ka palekana o nā ʻōnaehana kapua. Hoʻolālā ʻia kēia mau mea hana e pale aku i nā mea hacker a me nā cybercriminals ma ka ʻike ʻana i nā anomalies a me nā hana palekana.
1. Osquery
he ʻōnaehana no ka nānā haʻahaʻa haʻahaʻa a me ka nānā ʻana i nā ʻōnaehana hana e hiki ai i nā ʻoihana palekana ke hana i ka ʻimi ʻikepili paʻakikī me ka hoʻohana ʻana iā SQL. Hiki ke holo ka Osquery framework ma Linux, macOS, Windows a me FreeBSD. Hōʻike ia i ka ʻōnaehana hana (OS) ma ke ʻano he ʻikepili relational kiʻekiʻe. ʻAe kēia i nā loea palekana e nānā i ka OS ma ka holo ʻana i nā nīnau SQL. No ka laʻana, me ka hoʻohana ʻana i kahi nīnau, hiki iā ʻoe ke ʻike e pili ana i ka holo ʻana i nā kaʻina hana, nā modula kernel i hoʻouka ʻia, nā pili pūnaewele wehe, nā mea hoʻonui pūnaewele i hoʻokomo ʻia, nā hanana hāmeʻa, a me nā hashes faila.
Ua hana ʻia ka Osquery framework e Facebook. Ua wehe ʻia kāna code ma 2014, ma hope o ka ʻike ʻana o ka hui ʻaʻole ʻo ia wale nō ka mea e pono ai nā mea hana e nānā ai i nā mīkini haʻahaʻa haʻahaʻa o nā ʻōnaehana hana. Mai ia manawa, ua hoʻohana ʻia ʻo Osquery e nā loea mai nā hui e like me Dactiv, Google, Kolide, Trail of Bits, Uptycs, a me nā mea ʻē aʻe he nui. Ua hala koke iho nei e hoʻokumu ka Linux Foundation a me Facebook i kālā e kākoʻo iā Osquery.
ʻO ka daemon kiaʻi hoʻokipa o Osquery, i kapa ʻia ʻo osqueryd, hiki iā ʻoe ke hoʻonohonoho i nā nīnau e hōʻiliʻili i ka ʻikepili mai nā ʻōnaehana o kāu hui. ʻOhi ka daemon i nā hopena nīnau a hana i nā lāʻau e hōʻike ana i nā loli i ke kūlana o ka ʻoihana. Hiki i kēia ke kōkua i ka poʻe ʻoihana palekana e hoʻomau i ke kūlana o ka ʻōnaehana a he mea pono loa no ka ʻike ʻana i nā anomalies. Hiki ke hoʻohana ʻia nā mana o ka log aggregation o Osquery e kōkua iā ʻoe e ʻike i ka malware i ʻike ʻia a ʻike ʻole ʻia, a me ka ʻike i kahi i komo ai nā mea hoʻouka i kāu ʻōnaehana a ʻike i nā polokalamu a lākou i hoʻokomo ai. E heluhelu hou e pili ana i ka ʻike anomaly me ka hoʻohana ʻana iā Osquery.
2.GoAudit
'ōnaehana ʻelua mau mea nui. ʻO ka mea mua, ʻo ia kekahi code kernel-level i hoʻolālā ʻia e ʻae a nānā i nā kelepona ʻōnaehana. ʻO ka ʻāpana ʻelua he daemon mea hoʻohana i kapa ʻia . ʻO ia ke kuleana no ke kākau ʻana i nā hopena loiloi i ka disk. , he ʻōnaehana i hana ʻia e ka hui a hoʻokuʻu ʻia ma 2016, i manaʻo ʻia e pani i ka auditd. Ua hoʻomaikaʻi ʻo ia i ka hiki ke hoʻopaʻa inoa ma o ka hoʻololi ʻana i nā memo hanana multi-line i hana ʻia e ka ʻōnaehana loiloi Linux i hoʻokahi blobs JSON no ka maʻalahi o ka nānā ʻana. Me GoAudit, hiki iā ʻoe ke komo pololei i nā mīkini pae kernel ma luna o ka pūnaewele. Eia hou, hiki iā ʻoe ke hoʻololi i ka kānana hanana liʻiliʻi ma luna o ka mea hoʻokipa ponoʻī (a i ʻole hoʻopau loa i ka kānana). Ma ka manawa like, ʻo GoAudit kahi papahana i hoʻolālā ʻia ʻaʻole wale e hōʻoia i ka palekana. Hoʻolālā ʻia kēia hāmeʻa ma ke ʻano he mea hana waiwai nui no ke kākoʻo ʻōnaehana a i ʻole ka poʻe loea hoʻomohala. Kōkua ia i ka hakakā ʻana i nā pilikia ma nā ʻōnaehana nui.
Ua kākau ʻia ka ʻōnaehana GoAudit ma Golang. He ʻōlelo palekana ʻano a me ka hana kiʻekiʻe. Ma mua o ka hoʻokomo ʻana iā GoAudit, e nānā inā ʻoi aku ka kiʻekiʻe o kāu mana o Golang ma mua o 1.7.
3. Grapl
ʻO ka papahana (Graph Analytics Platform) ua hoʻoneʻe ʻia i ka māhele open source i Malaki i ka makahiki i hala. He kahua hou kēia no ka ʻike ʻana i nā pilikia palekana, ke alakaʻi ʻana i nā forensics kamepiula, a me ka hoʻopuka ʻana i nā hōʻike hanana. Hana pinepine nā mea hoʻouka me ka hoʻohana ʻana i kekahi mea e like me ke kiʻi kiʻi, loaʻa ka mana o kahi ʻōnaehana hoʻokahi a me ka ʻimi ʻana i nā ʻōnaehana pūnaewele ʻē aʻe e hoʻomaka ana mai kēlā ʻōnaehana. No laila, he mea maʻamau ka hoʻohana ʻana o nā mea pale ʻōnaehana i kahi mīkini e pili ana i ke ʻano o ka pakuhi o nā pilina o nā ʻōnaehana pūnaewele, me ka noʻonoʻo ʻana i nā ʻano o nā pilina ma waena o nā ʻōnaehana. Hōʻike ʻo Grapl i kahi hoʻāʻo e hoʻokō i ka ʻike hanana a me nā ana pane e pili ana i ke kumu hoʻohālike ma mua o ke kumu hoʻohālike.
Lawe ka mea hana Grapl i nā logs pili i ka palekana (Sysmon logs a i ʻole logs i ka format JSON maʻamau) a hoʻololi iā lākou i nā subgraphs (e wehewehe ana i kahi "ʻike" no kēlā me kēia node). Ma hope o kēlā, hoʻohui ia i nā subgraphs i loko o kahi pakuhi maʻamau (Master Graph), e hōʻike ana i nā hana i hana ʻia ma nā kaiapuni i kālailai ʻia. A laila holo ʻo Grapl i nā Analyzers ma ka pakuhi hopena me ka hoʻohana ʻana i nā "hōʻailona hoʻouka kaua" e ʻike i nā anomalies a me nā ʻano kānalua. Ke ʻike ʻia ka mea loiloi i kahi subgraph kānalua, hana ʻo Grapl i kahi kūkulu Engagement i manaʻo ʻia no ka hoʻokolokolo ʻana. ʻO ka hoʻopili ʻana he papa Python hiki ke hoʻouka ʻia, no ka laʻana, i loko o kahi puke puke Jupyter i kau ʻia i loko o ka AWS environment. Hiki i ka Grapl ke hoʻonui i ka nui o ka hōʻiliʻili ʻike no ka hoʻokolokolo hanana ma o ka hoʻonui ʻana i ka pakuhi.
Inā makemake ʻoe e hoʻomaopopo maikaʻi iā Grapl, hiki iā ʻoe ke nānā wikiō hoihoi - hoʻopaʻa i kahi hana mai BSides Las Vegas 2019.
4. OSSEC
he papahana i hoʻokumu ʻia ma 2004. ʻO kēia papahana, ma ke ʻano laulā, hiki ke ʻike ʻia ma ke ʻano he open-source security monitoring platform i hoʻolālā ʻia no ka nānā ʻana o ka host a me ka ʻike intrusion. Hoʻoiho ʻia ʻo OSSEC ma mua o 500000 mau manawa i kēlā me kēia makahiki. Hoʻohana nui ʻia kēia kahua ma ke ʻano he mea e ʻike ai i nā komo ʻana ma nā kikowaena. Eia kekahi, ke kamaʻilio nei mākou e pili ana i nā ʻōnaehana kūloko a me ke ao. Hoʻohana pinepine ʻia ʻo OSSEC ma ke ʻano he mea hana no ka nānā ʻana a me ka nānā ʻana i nā lāʻau o nā pā ahi, nā ʻōnaehana ʻike intrusion, nā kikowaena pūnaewele, a no ke aʻo ʻana i nā lāʻau hōʻoia.
Hoʻohui ʻo OSSEC i nā mana o kahi Host-Based Intrusion Detection System (HIDS) me kahi Security Incident Management (SIM) a me Security Information and Event Management (SIEM). . Hiki iā OSSEC ke nānā i ka pono o ka faila i ka manawa maoli. ʻO kēia, no ka laʻana, nānā i ka papa inoa Windows a ʻike i nā rootkits. Hiki iā OSSEC ke hoʻomaopopo i nā mea pili e pili ana i nā pilikia i ʻike ʻia i ka manawa maoli a kōkua i ka pane wikiwiki ʻana i nā mea hoʻoweliweli i ʻike ʻia. Kākoʻo kēia paepae iā Microsoft Windows a me nā ʻōnaehana like Unix hou loa, me Linux, FreeBSD, OpenBSD a me Solaris.
Aia ka OSSEC platform i kahi hui mana kikowaena, kahi luna, i hoʻohana ʻia e loaʻa a nānā i ka ʻike mai nā ʻelele (nā papahana liʻiliʻi i kau ʻia ma nā ʻōnaehana pono e nānā ʻia). Hoʻokomo ʻia ka luna ma kahi ʻōnaehana Linux, kahi e mālama ai i kahi waihona i hoʻohana ʻia e nānā i ka pono o nā faila. Hoʻopaʻa pū ia i nā moʻolelo a me nā moʻolelo o nā hanana a me nā hopena loiloi ʻōnaehana.
Ke kākoʻo ʻia nei ka papahana OSSEC e Atomicorp. Mālama ka ʻoihana i kahi mana manuahi manuahi, a me nā hāʻawi ʻano pāʻoihana o ka huahana. podcast kahi e kamaʻilio ai ka luna papahana OSSEC e pili ana i ka mana hou loa o ka ʻōnaehana - OSSEC 3.0. E kamaʻilio pū ana e pili ana i ka mōʻaukala o ka papahana, a me kona ʻokoʻa mai nā ʻōnaehana kalepa hou i hoʻohana ʻia ma ke kahua o ka palekana kamepiula.
5. meerkat
he papahana open source e pili ana i ka hoʻoponopono ʻana i nā pilikia nui o ka palekana kamepiula. Ma keʻano kūikawā, loaʻa kahi ʻōnaehana ʻike intrusion, kahi ʻōnaehana pale intrusion, a me kahi hāmeʻa mālama mālama pūnaewele.
Ua ʻike ʻia kēia huahana i ka makahiki 2009. Hoʻokumu ʻia kāna hana ma luna o nā lula. ʻO ia hoʻi, hiki i ka mea hoʻohana iā ia ke wehewehe i kekahi mau hiʻohiʻona o ke kaʻa pūnaewele. Inā hoʻomaka ka lula, hoʻopuka ʻo Suricata i kahi leka hoʻomaopopo, kaohi ʻana a i ʻole ka hoʻopau ʻana i ka pilina kānalua, ʻo ia hoʻi, pili i nā lula i kuhikuhi ʻia. Kākoʻo ka pāhana i ka hana multi-threaded. ʻO kēia ka mea e hiki ai ke hoʻoponopono wikiwiki i ka nui o nā lula i nā pūnaewele e lawe nui ana i nā kaʻa. Mahalo i ke kākoʻo multi-threading, hiki i kahi kikowaena maʻamau ke nānā pono i ka huakaʻi hele i ka wikiwiki o 10 Gbit/s. I kēia hihia, ʻaʻole pono ka luna hoʻomalu e kaupalena i ka hoʻonohonoho o nā lula i hoʻohana ʻia no ka nānā ʻana i nā kaʻa. Kākoʻo ʻo Suricata i ka hashing a me ka lawe ʻana i nā faila.
Hiki ke hoʻonohonoho ʻia ʻo Suricata e holo ma nā kikowaena maʻamau a i ʻole nā mīkini virtual, e like me AWS, me ka hoʻohana ʻana i kahi hiʻohiʻona i hoʻokomo hou ʻia i ka huahana. .
Kākoʻo ka papahana i nā palapala Lua, hiki ke hoʻohana ʻia no ka hana ʻana i nā loina paʻakikī a kikoʻī no ka nānā ʻana i nā pūlima hoʻoweliweli.
Mālama ʻia ka papahana Suricata e ka Open Information Security Foundation (OISF).
6. Zeek (Bro)
E like me Suricata, (Ua kapa ʻia kēia papahana ma mua ʻo Bro a ua kapa hou ʻia ʻo Zeek ma BroCon 2018) he ʻōnaehana ʻike intrusion a me nā mea hana mālama palekana pūnaewele hiki ke ʻike i nā anomalies e like me ka hana kānalua a i ʻole ka hana weliweli. ʻOkoʻa ʻo Zeek mai nā IDS kuʻuna i kēlā, ʻaʻole like me nā ʻōnaehana e pili ana i ka lula e ʻike i nā ʻokoʻa, hopu pū ʻo Zeek i nā metadata e pili ana i nā mea e hana nei ma ka pūnaewele. Hana ʻia kēia i mea e hoʻomaopopo maikaʻi ai i ka pōʻaiapili o ka ʻano pūnaewele maʻamau. ʻAe kēia, no ka laʻana, ma ka nānā ʻana i kahi kelepona HTTP a i ʻole ke kaʻina hana no ka hoʻololi ʻana i nā palapala hōʻoia palekana, e nānā i ka protocol, ma nā poʻomanaʻo packet, ma nā inoa domain.
Inā mākou e noʻonoʻo iā Zeek ma ke ʻano he mea hana palekana pūnaewele, a laila hiki iā mākou ke ʻōlelo e hāʻawi i kahi loea i ka manawa e noiʻi ai i kahi hanana ma ke aʻo ʻana i ka mea i hana ma mua a i ka wā o ka hanana. Hoʻololi pū ʻo Zeek i nā ʻikepili kalepa pūnaewele i nā hanana kiʻekiʻe a hāʻawi i ka hiki ke hana me kahi unuhi ʻōlelo. Kākoʻo ka unuhi ʻōlelo i ka ʻōlelo hoʻolālā i hoʻohana ʻia e launa pū me nā hanana a me ka noʻonoʻo ʻana i ke ʻano o ia mau hanana e pili ana i ka palekana pūnaewele. Hiki ke hoʻohana ʻia ka ʻōlelo hoʻolālā Zeek e hana i ka wehewehe ʻana i ka metadata e kūpono i nā pono o kahi hui. Hiki iā ʻoe ke kūkulu i nā kūlana loiloi paʻakikī me ka hoʻohana ʻana i nā mea hoʻohana AND, OR a me NOT. Hāʻawi kēia i nā mea hoʻohana i ka hiki ke hana i ke ʻano o ka nānā ʻana i kā lākou kaiapuni. Eia nō naʻe, pono e hoʻomaopopo ʻia, i ka hoʻohālikelike ʻana me Suricata, ʻike paha ʻo Zeek i kahi mea paʻakikī i ka wā e alakaʻi ai i ka reconnaissance hoʻoweliweli palekana.
Inā makemake ʻoe i nā kikoʻī hou aku e pili ana iā Zeek, e ʻoluʻolu e kelepona wikiō.
7. Pantera
ʻO ia kahi kahua hoʻokumu ʻōiwi ikaika no ka nānā ʻana i ka palekana. Ua hoʻololi hou ʻia i ka māhele kumu wehe. Aia ka mea hoʻolālā nui i ke kumu o ka papahana - nā hoʻonā no ka loiloi log automated, ua wehe ʻia ke code e Airbnb. Hāʻawi ʻo Panther i ka mea hoʻohana i hoʻokahi ʻōnaehana no ka ʻike ʻana i nā mea hoʻoweliweli ma nā wahi āpau a hoʻonohonoho i kahi pane iā lākou. Hiki i kēia ʻōnaehana ke ulu pū me ka nui o nā ʻōnaehana i lawelawe ʻia. Hoʻokumu ʻia ka ʻike hoʻoweliweli ma luna o nā lula akaka, hoʻoholo e hōʻemi i nā hopena maikaʻi ʻole a me ka hana pono ʻole no nā ʻoihana palekana.
Ma waena o nā hiʻohiʻona nui o Panther penei:
- Ka ʻike ʻana i ka ʻae ʻole ʻana i nā kumuwaiwai ma o ka nānā ʻana i nā lāʻau.
- ʻIke hoʻoweliweli, hoʻokō ʻia e ka ʻimi ʻana i nā lāʻau no nā hōʻailona e hōʻike ana i nā pilikia palekana. Hana ʻia ka ʻimi ʻana me ka hoʻohana ʻana i nā kahua ʻikepili standardized a Panter.
- Ke nānā nei i ka ʻōnaehana no ka hoʻokō ʻana i nā kūlana SOC/PCI/HIPAA me ka hoʻohana ʻana Nā mīkini Panther.
- E pale i kāu mau kumuwaiwai ma o ka hoʻoponopono ʻana i nā hewa hoʻonohonoho i hiki ke hoʻopilikia i nā pilikia koʻikoʻi inā hoʻohana ʻia e nā mea hoʻouka.
Hoʻonoho ʻia ʻo Panther ma ke ao AWS o kahi hui me ka hoʻohana ʻana iā AWS CloudFormation. Hāʻawi kēia i ka mea hoʻohana e mālama mau i kāna ʻikepili.
Nā hopena
He hana koʻikoʻi ka mālama ʻana i ka ʻōnaehana palekana i kēia mau lā. I ka hoʻoponopono ʻana i kēia pilikia, hiki ke kōkua ʻia nā ʻoihana o kēlā me kēia nui e nā mea hana open source e hāʻawi ana i nā manawa he nui a kokoke i ke kumu kūʻai ʻole a i ʻole manuahi.
E nā mea heluhelu aloha! He aha nā mea hana mālama palekana āu e hoʻohana ai?
Source: www.habr.com