Kev siv dav dav ntawm huab suav pab cov tuam txhab lag luam ntsuas lawv cov lag luam. Tab sis kev siv lub platform tshiab kuj txhais tau tias qhov tshwm sim ntawm kev hem thawj tshiab. Kev tswj hwm koj tus kheej hauv ib lub koom haum saib xyuas kev ruaj ntseg ntawm kev pabcuam huab tsis yog ib txoj haujlwm yooj yim. Cov cuab yeej saib xyuas uas twb muaj lawm yog kim thiab qeeb. Lawv, rau qee qhov, nyuaj rau kev tswj hwm thaum nws los txog rau kev nyab xeeb huab cua loj loj. Txhawm rau kom lawv cov huab kev nyab xeeb nyob rau theem siab, cov tuam txhab xav tau cov cuab yeej muaj zog, hloov tau yooj yim, thiab nkag siab zoo uas mus dhau qhov uas yav dhau los muaj. Qhov no yog qhov chaw qhib thev naus laus zis tuaj yeem siv tau zoo, pab txuag nyiaj txiag kev nyab xeeb thiab tsim los ntawm cov kws tshaj lij uas paub ntau txog lawv txoj kev lag luam.
Cov kab lus, cov lus txhais uas peb tab tom tshaj tawm hnub no, muab cov ntsiab lus ntawm 7 cov cuab yeej qhib rau kev saib xyuas kev ruaj ntseg ntawm huab cua. Cov cuab yeej no yog tsim los tiv thaiv hackers thiab cybercriminals los ntawm kev txheeb xyuas qhov tsis zoo thiab kev ua haujlwm tsis zoo.
1. Osquery
yog lub kaw lus rau kev saib xyuas qis thiab kev soj ntsuam ntawm kev ua haujlwm uas tso cai rau cov kws tshaj lij kev nyab xeeb los ua cov ntaub ntawv nyuaj mining siv SQL. Osquery moj khaum tuaj yeem khiav ntawm Linux, macOS, Windows thiab FreeBSD. Nws sawv cev rau lub operating system (OS) raws li cov ntaub ntawv muaj txiaj ntsig zoo. Qhov no tso cai rau cov kws paub txog kev ruaj ntseg los tshuaj xyuas OS los ntawm kev khiav SQL queries. Piv txwv li, siv cov lus nug, koj tuaj yeem paub txog cov txheej txheem khiav, thauj khoom kernel modules, qhib kev sib txuas hauv network, ntsia browser txuas ntxiv, kho vajtse xwm txheej, thiab cov ntaub ntawv hashes.
Lub Osquery moj khaum tau tsim los ntawm Facebook. Nws cov cai tau qhib los ntawm 2014, tom qab lub tuam txhab pom tau hais tias nws tsis yog nws tus kheej xwb uas xav tau cov cuab yeej los saib xyuas cov txheej txheem qis ntawm kev ua haujlwm. Txij thaum ntawd los, Osquery tau siv los ntawm cov kws tshaj lij los ntawm cov tuam txhab xws li Dactiv, Google, Kolide, Trail of Bits, Uptycs, thiab ntau lwm tus. Tsis ntev los no tias Linux Foundation thiab Facebook tab tom yuav tsim cov peev nyiaj los txhawb Osquery.
Osquery tus tswv saib xyuas daemon, hu ua osqueryd, tso cai rau koj teem sijhawm cov lus nug uas sau cov ntaub ntawv los ntawm thoob plaws koj lub koom haum cov txheej txheem. Lub daemon sau cov lus nug thiab tsim cov cav uas cuam tshuam txog kev hloov pauv hauv lub xeev ntawm cov txheej txheem. Qhov no tuaj yeem pab cov kws tshaj lij kev nyab xeeb nyob twj ywm ntawm cov xwm txheej ntawm lub kaw lus thiab tshwj xeeb tshaj yog muaj txiaj ntsig zoo rau kev txheeb xyuas qhov tsis txaus ntseeg. Osquery's log aggregation peev xwm tuaj yeem siv los pab koj nrhiav paub thiab tsis paub malware, nrog rau txheeb xyuas qhov twg cov neeg tawm tsam tau nkag mus rau koj lub cev thiab nrhiav cov kev pab cuam uas lawv tau teeb tsa. Nyeem ntxiv txog kev kuaj pom tsis zoo siv Osquery.
2.GoAudit
system muaj ob lub ntsiab. Thawj yog qee cov lej-theem qib tsim los cuam tshuam thiab saib xyuas kev hu xov tooj. Qhov thib ob tivthaiv yog tus neeg siv chaw daemon hu ua . Nws yog lub luag haujlwm rau kev sau cov txiaj ntsig tshawb xyuas rau disk. , ib qho system tsim los ntawm lub tuam txhab thiab tso tawm nyob rau hauv 2016, npaj los hloov auditd. Nws tau txhim kho kev txiav txim siab muaj peev xwm los ntawm kev hloov ntau cov kab lus tshwm sim tsim los ntawm Linux kev tshuaj xyuas rau hauv ib qho JSON blobs rau kev txheeb xyuas yooj yim dua. Nrog GoAudit, koj tuaj yeem nkag ncaj qha mus rau cov txheej txheem kernel-theem hauv lub network. Tsis tas li ntawd, koj tuaj yeem ua kom muaj kev lim dej tsawg kawg ntawm tus tswv tsev nws tus kheej (lossis tsis ua haujlwm lim dej tag nrho). Nyob rau tib lub sijhawm, GoAudit yog ib txoj haujlwm tsim los tsis yog kom muaj kev ruaj ntseg xwb. Cov cuab yeej no yog tsim los ua cov cuab yeej muaj txiaj ntsig zoo rau kev txhawb nqa lossis kev txhim kho cov kws tshaj lij. Nws pab tawm tsam cov teeb meem hauv cov txheej txheem loj.
GoAudit system yog sau rau hauv Golang. Nws yog hom lus zoo thiab ua haujlwm siab. Ua ntej txhim kho GoAudit, xyuas tias koj qhov version ntawm Golang siab dua 1.7.
3. Grapl
Qhov project (Graph Analytics Platform) tau pauv mus rau qhov qhib qhib qeb hauv lub Peb Hlis xyoo tas los. Nws yog ib lub platform tshiab rau kev kuaj xyuas cov teeb meem kev nyab xeeb, ua lub computer forensics, thiab tsim cov ntawv ceeb toom xwm txheej. Cov neeg tawm tsam feem ntau ua haujlwm siv ib yam dab tsi zoo li cov qauv duab, tau txais kev tswj hwm ntawm ib qho system thiab tshawb nrhiav lwm lub network pib los ntawm qhov system. Yog li ntawd, nws yog ib qho tseem ceeb heev uas cov neeg tiv thaiv tseem yuav siv cov txheej txheem raws li tus qauv ntawm cov duab ntawm kev sib txuas ntawm cov kab ke hauv lub network, coj mus rau hauv tus account peculiarities ntawm kev sib raug zoo ntawm cov tshuab. Grapl qhia txog kev sim ua kom pom qhov xwm txheej thiab ntsuas kev teb raws li tus qauv duab es tsis yog tus qauv ntsuas.
Lub cuab yeej Grapl siv cov ntaub ntawv ntsig txog kev ruaj ntseg (Sysmon cav lossis cov cav hauv JSON li niaj zaus) thiab hloov lawv mus rau hauv cov duab subgraphs (txhais tus "tus kheej" rau txhua qhov). Tom qab ntawd, nws muab cov ntawv sau ua ke rau hauv cov duab sib xws (Master Graph), uas sawv cev rau cov kev ua tau ua nyob rau hauv ib puag ncig txheeb xyuas. Grapl mam li khiav Analyzers ntawm cov txiaj ntsig siv "tus neeg kos npe kos npe" txhawm rau txheeb xyuas qhov tsis txaus ntseeg thiab cov qauv tsis txaus ntseeg. Thaum tus txheeb xyuas txheeb xyuas qhov tsis txaus ntseeg, Grapl tsim kev sib koom ua ke tsim los rau kev tshawb nrhiav. Kev koom tes yog Python chav kawm uas tuaj yeem thauj khoom, piv txwv li, mus rau hauv Jupyter Notebook uas tau muab tso rau hauv AWS ib puag ncig. Grapl, ntxiv rau, tuaj yeem nce qhov ntsuas ntawm kev sau cov ntaub ntawv rau kev tshawb nrhiav qhov xwm txheej los ntawm kev nthuav dav duab.
Yog tias koj xav nkag siab zoo dua Grapl, koj tuaj yeem saib nthuav video - kaw qhov kev ua yeeb yam los ntawm BSides Las Vegas 2019.
4. OSSEC
yog ib qhov project tsim nyob rau hauv 2004. Qhov project no, feem ntau, tuaj yeem ua tus yam ntxwv raws li qhov qhib qhov chaw saib xyuas kev ruaj ntseg platform tsim los rau kev tsom xam tus tswv thiab kev nkag mus rau kev nkag mus. OSSEC tau rub tawm ntau dua 500000 zaug hauv ib xyoos. Lub platform no feem ntau yog siv los ua ib txoj hauv kev tshawb nrhiav kev nkag mus ntawm servers. Ntxiv mus, peb tab tom tham txog ob qho tib si hauv zos thiab huab cua. OSSEC kuj tseem siv tau los ua ib qho cuab yeej rau kev tshuaj xyuas thiab tshuaj xyuas cov ntawv teev cov firewalls, cov cuab yeej tshawb nrhiav kev nkag, cov web servers, thiab tseem siv rau kev tshawb xyuas cov ntaub ntawv pov thawj.
OSSEC sib txuas cov peev txheej ntawm Lub Tuam Txhab Raws Li Kev Tshawb Fawb Txog Kev Tshawb Fawb (HIDS) nrog Kev Tswj Xyuas Kev Nyab Xeeb Kev Nyab Xeeb (SIM) thiab Cov Ntaub Ntawv Kev Ruaj Ntseg thiab Kev Tswj Xyuas Txheej Txheem (SIEM). OSSEC tseem tuaj yeem saib xyuas cov ntaub ntawv ncaj ncees hauv lub sijhawm. Qhov no, piv txwv li, saib xyuas lub Windows sau npe thiab pom cov rootkits. OSSEC muaj peev xwm ceeb toom rau cov neeg muaj feem cuam tshuam txog cov teeb meem tshawb pom hauv lub sijhawm tiag tiag thiab pab daws sai sai rau cov kev hem thawj. Lub platform no txhawb nqa Microsoft Windows thiab feem ntau niaj hnub Unix-zoo li tshuab, suav nrog Linux, FreeBSD, OpenBSD thiab Solaris.
OSSEC platform muaj lub hauv paus tswj hwm, tus thawj tswj hwm, siv los txais thiab saib xyuas cov ntaub ntawv los ntawm cov neeg ua haujlwm (cov haujlwm me me tau nruab rau hauv cov tshuab uas yuav tsum tau saib xyuas). Tus thawj tswj hwm tau nruab rau ntawm Linux system, uas khaws cov ntaub ntawv siv los txheeb xyuas qhov tseeb ntawm cov ntaub ntawv. Nws tseem khaws cov cav thiab cov ntaub ntawv ntawm cov xwm txheej thiab cov txiaj ntsig kev soj ntsuam.
Qhov project OSSEC tam sim no txhawb nqa los ntawm Atomicorp. Lub tuam txhab saib xyuas qhov qhib qhov chaw dawb, thiab, ntxiv rau, muaj coj mus muag version ntawm cov khoom. podcast uas OSSEC tus thawj tswj hwm qhov project tham txog qhov tseeb version ntawm lub kaw lus - OSSEC 3.0. Nws kuj tseem tham txog keeb kwm ntawm qhov project, thiab nws txawv li cas ntawm kev lag luam niaj hnub siv hauv kev lag luam hauv computer kev ruaj ntseg.
5. kev
yog qhov qhib qhov project tsom rau kev daws cov teeb meem tseem ceeb ntawm kev ruaj ntseg hauv computer. Hauv particular, nws muaj xws li ib tug intrusion detection system, ib tug intrusion tiv thaiv system, thiab ib tug network kev ruaj ntseg xyuas cov cuab yeej.
Cov khoom no tau tshwm sim hauv xyoo 2009. Nws txoj haujlwm yog raws li kev cai. Ntawd yog, tus neeg siv nws muaj lub sijhawm los piav txog qee yam ntawm cov kev sib txuas hauv network. Yog tias txoj cai tshwm sim, Suricata tsim cov ntawv ceeb toom, thaiv lossis txiav tawm qhov kev sib txuas tsis txaus ntseeg, uas, dua, nyob ntawm cov cai teev tseg. Qhov project kuj txhawb kev ua haujlwm ntau txoj xov. Qhov no ua rau nws muaj peev xwm ua tau sai sai ntawm ntau txoj cai hauv cov tes hauj lwm uas nqa cov tsheb loj. Ua tsaug rau kev txhawb nqa ntau txoj xov, ib lub server zoo tib yam tuaj yeem ua tiav kev txheeb xyuas kev mus ncig ntawm qhov nrawm ntawm 10 Gbit / s. Hauv qhov no, tus thawj tswj hwm tsis tas yuav txwv cov txheej txheem uas siv rau kev txheeb xyuas tsheb. Suricata kuj txhawb nqa hashing thiab khaws cov ntaub ntawv.
Suricata tuaj yeem raug teeb tsa kom khiav ntawm cov servers ib txwm muaj lossis ntawm cov tshuab virtual, xws li AWS, siv cov yam ntxwv tsis ntev los no hauv cov khoom lag luam. .
Txoj haujlwm txhawb nqa Lua cov ntawv sau, uas tuaj yeem siv los tsim cov txheej txheem nyuaj thiab cov ncauj lus kom ntxaws rau kev txheeb xyuas cov npe hem.
Txoj haujlwm Suricata yog tswj hwm los ntawm Open Information Security Foundation (OISF).
6. Zeej (Bro)
Zoo li Suricata, (Qhov project no yog yav tas los hu ua Bro thiab tau hloov npe Zeek ntawm BroCon 2018) kuj yog ib qho kev cuam tshuam txog kev nkag mus thiab cov cuab yeej saib xyuas kev ruaj ntseg network uas tuaj yeem kuaj pom qhov tsis zoo xws li kev ua tsis txaus ntseeg lossis txaus ntshai. Zeek txawv ntawm IDS ib txwm muaj nyob rau hauv qhov ntawd, tsis zoo li cov txheej txheem raws li txoj cai uas kuaj pom qhov tshwj xeeb, Zeek tseem khaws cov metadata cuam tshuam nrog qhov tshwm sim ntawm lub network. Qhov no yog ua kom nkag siab zoo dua cov ntsiab lus ntawm kev coj tus cwj pwm txawv network. Qhov no tso cai, piv txwv li, los ntawm kev txheeb xyuas HTTP hu lossis cov txheej txheem rau kev sib pauv daim ntawv pov thawj kev nyab xeeb, saib cov txheej txheem, ntawm pob ntawv headers, ntawm cov npe sau npe.
Yog tias peb suav tias Zeek yog lub cuab yeej kev ruaj ntseg network, peb tuaj yeem hais tias nws muab sijhawm rau tus kws tshaj lij los tshawb xyuas qhov xwm txheej los ntawm kev kawm txog dab tsi tshwm sim ua ntej lossis thaum lub sijhawm teeb meem. Zeek tseem hloov pauv cov ntaub ntawv sib txuas hauv network rau hauv cov xwm txheej siab thiab muab lub peev xwm ua haujlwm nrog tus neeg txhais ntawv. Tus neeg txhais lus txhawb nqa cov lus programming uas yog siv los cuam tshuam nrog cov xwm txheej thiab txheeb xyuas seb cov xwm txheej ntawd txhais li cas ntawm kev ruaj ntseg network. Zeek programming lus tuaj yeem siv los kho qhov kev txhais ntawm metadata kom haum rau lub koom haum tshwj xeeb cov kev xav tau. Nws tso cai rau koj los tsim cov txheej txheem nyuaj uas siv cov AND, LOSSIS thiab TSIS TAU. Qhov no ua rau cov neeg siv muaj peev xwm los hloov kho lawv cov kev txheeb xyuas qhov chaw. Txawm li cas los xij, nws yuav tsum tau muab sau tseg tias, piv nrog Suricata, Zeek tej zaum yuav zoo li ib qho cuab yeej nyuaj thaum ua kev soj ntsuam kev nyab xeeb.
Yog tias koj xav paub ntau ntxiv txog Zeek, thov hu rau lub yees duab.
7. Panther
yog ib tug haib, ib txwm huab-native platform rau kev ruaj ntseg xyuas tas li. Tsis ntev los no nws tau pauv mus rau qhov qhib qeb. Lub ntsiab architect yog nyob rau hauv lub hauv paus ntawm qhov project - kev daws teeb meem rau kev txheeb xyuas lub cav tsis siv neeg, cov cai uas tau qhib los ntawm Airbnb. Panther muab cov neeg siv ib qho system rau hauv nruab nrab ntawm kev kuaj xyuas kev hem thawj hauv txhua qhov chaw thiab teeb tsa cov lus teb rau lawv. Qhov system no muaj peev xwm loj hlob nrog rau qhov loj ntawm cov infrastructure tau txais kev pab. Kev tshawb nrhiav kev hem thawj yog ua raws li pob tshab, txiav txim siab cov cai los txo qhov tsis tseeb thiab tsis tsim nyog ua haujlwm rau cov kws tshaj lij kev nyab xeeb.
Ntawm cov yam ntxwv tseem ceeb ntawm Panther yog cov hauv qab no:
- Kev txheeb xyuas qhov tsis tau tso cai nkag mus rau cov peev txheej los ntawm kev txheeb xyuas cov cav.
- Kev ntes hem, ua los ntawm kev tshawb nrhiav cav rau cov cim qhia txog teeb meem kev nyab xeeb. Kev tshawb nrhiav yog ua los ntawm Panter tus qauv cov ntaub ntawv teb.
- Txheeb xyuas qhov system kom ua raws li SOC / PCI / HIPAA cov qauv siv Panther mechanisms.
- Tiv thaiv koj cov peev txheej huab los ntawm kev kho qhov teeb meem tsis raug uas tuaj yeem ua teeb meem loj yog tias siv los ntawm cov neeg tawm tsam.
Panther yog siv rau ntawm lub koom haum AWS huab siv AWS CloudFormation. Qhov no tso cai rau tus neeg siv ib txwm tswj hwm nws cov ntaub ntawv.
Cov txiaj ntsim tau los
Kev saib xyuas kev ruaj ntseg yog ib txoj haujlwm tseem ceeb niaj hnub no. Hauv kev daws qhov teeb meem no, cov tuam txhab ntawm txhua qhov loj tuaj yeem pab tau los ntawm cov cuab yeej qhib uas muab ntau lub sijhawm thiab raug nqi yuav luag tsis muaj dab tsi lossis tsis pub dawb.
Nyob zoo nyeem! Koj siv cov cuab yeej saib xyuas kev ruaj ntseg dab tsi?
Tau qhov twg los: www.hab.com