知っておくべき7つのオープンソースクラウドセキュリティ監視ツール

クラウド コンピューティングの普及は、企業のビジネスの拡大に役立ちます。 しかし、新しいプラットフォームの使用は、新たな脅威の出現も意味します。 クラウド サービスのセキュリティの監視を担当する組織内で自分のチームをサポートするのは簡単な作業ではありません。 既存の監視ツールは高価で時間がかかります。 大規模なクラウド インフラストラクチャのセキュリティを確保する必要がある場合、それらを管理するのはある程度困難です。 クラウドのセキュリティを高いレベルに維持したいと考えている企業は、これまで利用できたものを超えて強力で柔軟性があり、理解しやすいツールを必要としています。 ここで、オープンソース テクノロジーが非常に役立ちます。オープンソース テクノロジーは、セキュリティ予算の節約に役立ち、ビジネスに精通した専門家によって作成されます。

本日その翻訳を公開するこの記事では、クラウド システムのセキュリティを監視するための 7 つのオープンソース ツールの概要を説明しています。 これらのツールは、異常や危険なアクティビティを検出することでハッカーやサイバー犯罪者から保護するように設計されています。

1.オスクエリ

オスクエリ は、オペレーティング システムを低レベルで監視および分析するためのシステムで、セキュリティ専門家が SQL を使用して複雑なデータ マイニングを実行できるようにします。 Osquery フレームワークは、Linux、macOS、Windows、および FreeBSD 上で実行できます。 オペレーティング システム (OS) を高性能リレーショナル データベースとして表現します。 これにより、セキュリティ専門家は SQL クエリを実行して OS を探索できるようになります。 たとえば、クエリを使用すると、実行中のプロセス、ロードされたカーネル モジュール、オープン ネットワーク接続、インストールされているブラウザ拡張機能、ハードウェア イベント、ファイル ハッシュ サムについて知ることができます。

Osquery フレームワークは Facebook によって作成されました。 オペレーティング システムの低レベルのメカニズムを監視するツールが必要なのは自社だけではないことに同社が気づいた後、そのコードは 2014 年に公開されました。 それ以来、Osquery は、Dactiv、Google、Kolide、Trail of Bits、Uptycs などの企業の専門家によって使用されています。 最近はそうでした 発表した Linux Foundation と Facebook が Osquery を支援するための基金を設立する予定であるとのこと。

osqueryd と呼ばれる Osquery のホスト監視デーモンを使用すると、組織のインフラストラクチャ全体からデータを収集するクエリをスケジュールできます。 デーモンはクエリ結果を収集し、インフラストラクチャの状態の変化を反映するログを作成します。 これは、セキュリティ専門家がシステム内の状況を常に把握するのに役立ち、特に異常の検出に役立ちます。 Osquery のログ集約機能を使用すると、既知および未知のマルウェアの検索を容易にするだけでなく、侵入者がシステムに侵入した場所を特定し、侵入者がインストールしたプログラムを見つけることもできます。 ここで この資料には、Osquery を使用した異常検出の詳細が記載されています。

2.ゴー監査

システム Linuxの監査 XNUMX つの主要なコンポーネントで構成されます。 XNUMX つ目は、システム コールをインターセプトして監視するように設計されたカーネル レベルのコードです。 XNUMX 番目のコンポーネントは、と呼ばれるユーザー空間デーモンです。 監査。 監査の結果をディスクに書き込む役割を果たします。 GoAudit、会社が作成したシステム Slack 2016 年にリリースされたものは、auditd を置き換えることを目的としています。 Linux 監査システムによって生成された複数行のイベント メッセージを単一の JSON BLOB に変換することにより、ログ機能が向上し、解析が容易になりました。 GoAudit のおかげで、ネットワーク経由でカーネル レベルのメカニズムに直接アクセスできます。 さらに、ホスト自体で最小限のイベント フィルタリングを有効にする (またはフィルタリングを完全に無効にする) こともできます。 同時に、GoAudit はセキュリティだけを目的として設計されたプロジェクトではありません。 このツールは、システム サポートまたは開発の専門家向けの多機能ツールであることを目的としています。 大規模インフラの問題への対処に役立ちます。

GoAudit システムは Golang で書かれています。 これはタイプセーフで高性能な言語です。 GoAudit をインストールする前に、Golang のバージョンが 1.7 以降であることを確認してください。

3 グラップル

プロジェクト グラップル （Graph Analytics Platform）は、昨年 XNUMX 月にオープンソース カテゴリに移行されました。 これは、セキュリティ問題の検出、コンピュータフォレンジックの実施、およびインシデントレポートの生成のための比較的新しいプラットフォームです。 攻撃者は多くの場合、グラフ モデルのようなものを使用して、特定のシステムを制御し、そのシステムから開始して他のネットワーク化されたシステムを探索します。 したがって、システム防御側も、システム間の関係の特殊性を考慮したネットワーク システム接続グラフ モデルに基づくメカニズムを使用するのはごく自然なことです。 Grapl は、ログ モデルではなくグラフ モデルに基づいてインシデントの検出と対応措置を適用する試みを示します。

Grapl ツールは、セキュリティ関連のログ (Sysmon ログまたはプレーンな JSON ログ) を取得し、それらをサブグラフ (各ノードの「ID 情報」を定義) に変換します。 その後、サブグラフを結合して、分析された環境で実行されたアクションを表す一般的なグラフ (マスター グラフ) を作成します。 次に、Grapl は、「攻撃者のシグネチャ」を使用して結果のグラフに対してアナライザーを実行し、異常や疑わしいパターンを検出します。 パーサーが疑わしいサブグラフを検出すると、Grapl は調査のために Engagement 構造を生成します。 Engagement は、AWS 環境にデプロイされた Jupyter Notebook などにロードできる Python クラスです。 Grapl は、グラフを拡張することで、インシデント調査のための情報収集をスケールアップすることもできます。

Grapl をもっと使いこなしたい場合は、次のリンクを参照してください。 それ 興味深いビデオは、BSides Las Vegas 2019 のパフォーマンスの記録です。

4 OSSEC

OSSEC は2004年に設立されたプロジェクトです。 このプロジェクトは、一般に、ホスト分析と侵入検出のために設計されたオープンソースのセキュリティ監視プラットフォームとして説明できます。 OSSEC は年間 500000 回以上ダウンロードされます。 このプラットフォームは主にサーバー侵入検出ツールとして使用されます。 さらに、ローカル システムとクラウド システムの両方について話しています。 OSSEC は、監視ログの調査、ファイアウォール、侵入検知システム、Web サーバーの分析、および認証ログの調査のためのツールとしてもよく使用されます。

OSSEC は、ホストベースの侵入検知システム (HIDS) とセキュリティ インシデント管理 (SIM) およびセキュリティ情報およびイベント管理 (SIEM) を組み合わせます。 OSSEC は、ファイルの整合性をリアルタイムで監視することもできます。 これは、たとえば、Windows レジストリの監視、ルートキットの検出などです。 OSSEC は、検出された問題について関係者にリアルタイムで通知することができ、検出された脅威に迅速に対応するのに役立ちます。 このプラットフォームは、Microsoft Windows と、Linux、FreeBSD、OpenBSD、Solaris などの最新の Unix 系システムをサポートします。

OSSEC プラットフォームは、中央制御エンティティ、エージェント (監視対象のシステムにインストールされている小さなプログラム) からの情報を受信して​​監視するために使用されるマネージャーで構成されます。 マネージャーは、ファイルの整合性をチェックするために使用されるデータベースを保持する Linux システムにインストールされます。 また、イベントやシステム監査結果のログと記録も保持します。

OSSEC プロジェクトは現在、Atomicorp によってサポートされています。 同社は無料のオープンソース バージョンを厳選し、さらに、 拡張された 製品の商用バージョン。 ここで OSSEC プロジェクト マネージャーがシステムの最新バージョンである OSSEC 3.0 について語るポッドキャスト。 また、プロジェクトの歴史と、コンピューター セキュリティの分野で使用されている現代の商用システムとの違いについても説明します。

5. ミーアキャット

Suricata は、コンピュータ セキュリティの主な問題の解決に焦点を当てたオープンソース プロジェクトです。 具体的には、侵入検知システム、侵入防止システム、ネットワーク セキュリティ監視ツールが含まれます。

この商品は2009年に発売されました。 彼の仕事はルールに基づいています。 つまり、これを使用する人は、ネットワーク トラフィックの特定の特徴を説明する機会があります。 ルールがトリガーされると、Suricata は通知を生成し、不審な接続をブロックまたは切断します。これも、設定されたルールによって異なります。 このプロジェクトはマルチスレッドもサポートしています。 これにより、大量のトラフィックを伝送するネットワークで多数のルールを迅速に処理できるようになります。 マルチスレッドのサポートのおかげで、ごく普通のサーバーは 10 Gb/s の速度でトラフィックを正常に分析できます。 同時に、管理者はトラフィック分析に使用するルールのセットを制限する必要がありません。 Suricata はファイルのハッシュ化と抽出もサポートしています。

Suricata は、製品に最近追加された機能を使用して、通常のサーバーまたは AWS などの仮想マシン上で実行するように構成できます。 トラフィック監視.

このプロジェクトは、複雑で詳細な脅威シグネチャ分析ロジックの作成に使用できる Lua スクリプトをサポートしています。

Suricata プロジェクトは、Open Information Security Foundation (OISF) によって管理されています。

6. ジーク (兄)

スリカタのように、 Zeek (このプロジェクトは以前は Bro と呼ばれていましたが、BroCon 2018 イベントで Zeek に名前変更されました) は、不審なアクティビティや危険なアクティビティなどの異常を検出できる侵入検知システムおよびネットワーク セキュリティ監視ツールでもあります。 Zeek は、例外を検出するルールベースのシステムとは異なり、ネットワーク上で何が起こっているかに関連するメタデータもキャプチャするという点で、従来の IDS とは異なります。 これは、異常なネットワーク動作のコンテキストをより深く理解するために行われます。 これにより、たとえば、HTTP 呼び出しやセキュリティ証明書を交換する手順を分析するときに、プロトコル、パケット ヘッダー、ドメイン名を確認することができます。

Zeek をネットワーク セキュリティ ツールと考えると、スペシャリストはインシデントの前または最中に何が起こったかを知ることで、インシデントを調査する機会が得られると言えます。 また、Zeek はネットワーク トラフィック データを高レベルのイベントに変換し、スクリプト インタプリタと連携できるようにします。 インタプリタは、イベントと対話し、ネットワーク セキュリティの観点からこれらのイベントが何を意味するかを正確に調べるために使用されるプログラミング言語をサポートします。 Zeek プログラミング言語を使用すると、特定の組織の必要に応じてメタデータの解釈をカスタマイズできます。 AND、OR、NOT 演算子を使用して複雑な論理条件を構築できます。 これにより、ユーザーは環境の分析方法をカスタマイズできるようになります。 確かに、Suricata と比較すると、セキュリティ脅威に関するインテリジェンスを実施する場合、Zeek はかなり複雑なツールのように見える場合があることに注意する必要があります。

Zeek についてさらに詳しく知りたい場合は、お問い合わせください。 この ビデオ。

7.パンサー

パンサー は、継続的なセキュリティ監視のための強力なクラウドネイティブ プラットフォームです。 最近オープンソースのカテゴリーに移されました。 プロジェクトの発端はメインアーキテクトです ストリームアラート は雑誌を自動分析するためのソリューションで、そのコードは Airbnb によってオープンソース化されました。 Panther は、すべての環境で脅威を一元的に検出し、対応するための単一システムをユーザーに提供します。 このシステムは、サービスを提供するインフラストラクチャの規模に応じて拡張できます。 脅威の検出は、透過的な決定論的なルールを使用して組織化され、誤検知を減らし、セキュリティ専門家の不必要な作業負荷を軽減します。

Panther の主な機能は次のとおりです。

• ログ分析によりリソースへの不正アクセスを検知。
• 脅威スキャンは、セキュリティ問題を示すインジケーターのログを検索することによって実装されます。 検索は、標準化された Panter データ フィールドを使用して実行されます。
• SOC/PCI/HIPAA 準拠のシステム チェックを使用して 埋め込み パンサーのメカニズム。
• 悪用されると重大な問題を引き起こす可能性がある構成エラーを自動的に修正することで、クラウド リソースを保護します。

Panther は、AWS CloudFormation を使用して組織の AWS クラウドにデプロイされます。 これにより、ユーザーは自分のデータを常に管理できるようになります。

結果

最近では、システムのセキュリティを監視することが最も重要なタスクになっています。 オープンソース ツールは、あらゆる規模の企業がこの問題を解決するのに役立ち、費用や無料がほとんどなく、多くの機会を提供します。

親愛なる読者！ どのようなセキュリティ監視ツールを使用していますか?

出所： habr.com