ProHoster > بلاګ > اداره > د بادل سیسټمونو امنیت څارنې لپاره 7 خلاصې سرچینې وسیلې چې په اړه یې پوهیدل ارزښت لري

د بادل سیسټمونو امنیت څارنې لپاره 7 خلاصې سرچینې وسیلې چې په اړه یې پوهیدل ارزښت لري

د کلاوډ کمپیوټري پراخه منل له شرکتونو سره د دوی سوداګرۍ اندازه کولو کې مرسته کوي. مګر د نوي پلیټ فارمونو کارول د نوي ګواښونو رامینځته کیدو معنی هم لري. په یوه اداره کې د خپل ټیم ​​ساتل د کلاوډ خدماتو امنیت څارنې لپاره مسؤل دي یو اسانه کار ندی. د څارنې موجوده وسایل ګران او ورو دي. دوی، تر یوې اندازې پورې، اداره کول ستونزمن دي کله چې د لوی پیمانه بادل زیربنا خوندي کولو خبره راځي. د دوی د بادل امنیت په لوړه کچه ساتلو لپاره، شرکتونه پیاوړي، انعطاف وړ، او رواني وسیلو ته اړتیا لري چې د هغه څه څخه بهر وي چې مخکې شتون درلود. دا هغه ځای دی چې د خلاصې سرچینې ټیکنالوژي خورا په کار ده، د امنیت بودیجې خوندي کولو کې مرسته کوي او د متخصصینو لخوا رامینځته کیږي چې د دوی سوداګرۍ په اړه ډیر څه پوهیږي.

د بادل سیسټمونو امنیت څارنې لپاره 7 خلاصې سرچینې وسیلې چې په اړه یې پوهیدل ارزښت لري

مقاله، هغه ژباړه چې موږ یې نن خپروو، د بادل سیسټمونو امنیت څارلو لپاره د 7 خلاصې سرچینې وسیلو یوه عمومي کتنه وړاندې کوي. دا وسیلې ډیزاین شوي ترڅو د هکرانو او سایبر جرمونو پروړاندې د بې نظمیو او غیر خوندي فعالیتونو په موندلو سره ساتنه وکړي.

1. اوسکری

اوسکری د عملیاتي سیسټمونو د ټیټې کچې څارنې او تحلیل لپاره یو سیسټم دی چې امنیتي متخصصینو ته اجازه ورکوي چې د SQL په کارولو سره پیچلي ډیټا کان کیندنې ترسره کړي. د Osquery چوکاټ کولی شي په لینکس، macOS، وینډوز او FreeBSD کې پرمخ بوځي. دا د عملیاتي سیسټم (OS) استازیتوب کوي د لوړ فعالیت اړوند ډیټابیس په توګه. دا امنیتي متخصصینو ته اجازه ورکوي چې د SQL پوښتنو په چلولو سره OS معاینه کړي. د مثال په توګه، د یوې پوښتنې په کارولو سره، تاسو کولی شئ د چلولو پروسو، بار شوي کرنل ماډلونه، د شبکې پرانیستې اړیکې، نصب شوي براوزر توسیع، هارډویر پیښې، او د فایل هشونو په اړه ومومئ.

د Osquery چوکاټ د فیسبوک لخوا رامینځته شوی. د دې کوډ په 2014 کې خلاص شوی و، وروسته له دې چې شرکت پوه شو چې دا یوازې پخپله نه و چې د عملیاتي سیسټمونو د ټیټې کچې میکانیزمونو څارلو لپاره وسیلو ته اړتیا لري. له هغه وخت راهیسې، Osquery د شرکتونو متخصصینو لخوا کارول کیږي لکه Dactiv، ګوګل، کولایډ، د بټس ټریل، اپټیکس، او ډیری نور. دا په دې وروستیو کې وه اعلان کړی دا چې لینکس فاونډیشن او فیسبوک د Osquery ملاتړ لپاره فنډ رامینځته کوي.

د Osquery کوربه څارنې ډیمون، چې د osqueryd په نوم یادیږي، تاسو ته اجازه درکوي د پوښتنو مهالویش وکړئ چې ستاسو د سازمان له زیربنا څخه ډاټا راټولوي. ډیمون د پوښتنو پایلې راټولوي او لاګونه رامینځته کوي چې د زیربنا حالت کې بدلون منعکس کوي. دا کولی شي د امنیتي متخصصینو سره مرسته وکړي چې د سیسټم وضعیت ته نږدې پاتې شي او په ځانګړې توګه د ګډوډۍ پیژندلو لپاره ګټور دی. د Osquery د لاګ راټولولو وړتیاوې تاسو سره د پیژندل شوي او ناپیژندل شوي مالویر موندلو کې مرسته کولو لپاره کارول کیدی شي ، په بیله بیا دا وپیژني چې برید کونکي ستاسو سیسټم ته چیرې ننوتلي او موندلي چې کوم پروګرامونه یې نصب کړي دي. دلته د Osquery په کارولو سره د نامناسب کشف په اړه نور ولولئ.

2. GoAudit

سيستم د لینکس پلټنه د دوو مهمو برخو څخه جوړه ده. لومړی د کرنل کچې ځینې کوډ دی چې د سیسټم تلیفونونو مداخله او نظارت لپاره ډیزاین شوی. دویمه برخه د کاروونکي ځای ډیمون دی پلټنه. دا ډیسک ته د پلټنې پایلې لیکلو مسؤلیت لري. GoAudit، یو سیسټم چې د شرکت لخوا رامینځته شوی پوځيان له او په 2016 کې خپور شو، موخه یې د پلټنې ځای بدلول دي. دا د اسانه تحلیل لپاره د لینکس پلټنې سیسټم لخوا رامینځته شوي ملټي لاین پیښې پیغامونو په واحد JSON بلبونو بدلولو سره د ننوتلو وړتیاوې ښه کړي. د GoAudit سره، تاسو کولی شئ مستقیم په شبکه کې د کرنل کچې میکانیزمونو ته لاسرسی ومومئ. سربیره پردې ، تاسو کولی شئ پخپله کوربه کې لږترلږه پیښې فلټر کول فعال کړئ (یا په بشپړ ډول فلټر کول غیر فعال کړئ). په ورته وخت کې، GoAudit یوه پروژه ده چې نه یوازې د امنیت ډاډمن کولو لپاره ډیزاین شوې. دا وسیله د سیسټم مالتړ یا پراختیایی متخصصینو لپاره د بډایه وسیلې په توګه ډیزاین شوې. دا په لوی پیمانه زیربناوو کې د ستونزو سره مبارزه کې مرسته کوي.

د GoAudit سیسټم په ګولنګ کې لیکل شوی. دا یو ډول خوندي او لوړ فعالیت ژبه ده. د GoAudit نصبولو دمخه، وګورئ چې ستاسو د ګولنګ نسخه د 1.7 څخه لوړه ده.

3. انګورو

پروژه ګرپل (ګراف تجزیه پلیټ فارم) د تیر کال په مارچ کې د خلاصې سرچینې کټګورۍ ته لیږدول شوی و. دا د امنیتي مسلو موندلو، د کمپیوټر عدلي تعقیب، او د پیښو راپورونو رامینځته کولو لپاره نسبتا نوی پلیټ فارم دی. برید کوونکي اکثرا د ګراف ماډل په څیر د یو څه په کارولو سره کار کوي، د یو واحد سیسټم کنټرول ترلاسه کوي او د دې سیسټم څخه د نورو شبکو سیسټمونو سپړنه کوي. له همدې امله، دا خورا طبیعي ده چې د سیسټم مدافعین به د سیسټمونو ترمنځ د اړیکو ځانګړتیاو په پام کې نیولو سره، د شبکې سیسټمونو د اړیکو ګراف د ماډل پر بنسټ یو میکانیزم وکاروي. Grapl د لاګ ماډل پرځای د ګراف ماډل پراساس د پیښې کشف او غبرګون اقدامات پلي کولو هڅه ښیې.

د Grapl وسیله د امنیت پورې اړوند لاګونه اخلي (سیسمون لاګ یا په منظم JSON فارمیټ کې لاګ) او فرعي ګرافونو ته یې بدلوي (د هر نوډ لپاره "پیژندنه" تعریفوي). له هغې وروسته، دا فرعي ګرافونه په یو عام ګراف (ماسټر ګراف) کې سره یوځای کوي، کوم چې په تحلیل شوي چاپیریال کې ترسره شوي کړنې استازیتوب کوي. ګراف بیا د "برید کونکي لاسلیکونو" په کارولو سره په پایله شوي ګراف کې تحلیل کونکي چلوي ترڅو ګډوډي او شکمن نمونې وپیژني. کله چې شنونکی شکمن فرعي ګراف پیژني، Grapl د پلټنې لپاره د ښکیلتیا جوړښت رامینځته کوي. ښکیلتیا د Python ټولګی دی چې بار کیدی شي، د بیلګې په توګه، د AWS چاپیریال کې ځای پرځای شوي Jupyter نوټ بوک کې. Grapl، سربیره پردې، کولی شي د ګراف پراخولو له لارې د پیښې تحقیقاتو لپاره د معلوماتو راټولولو کچه لوړه کړي.

که تاسو غواړئ په ښه توګه پوه شئ Grapl، تاسو کولی شئ یو نظر وګورئ دا په زړه پورې ویډیو - د BSides لاس ویګاس 2019 څخه د فعالیت ثبت کول.

4. OSSEC

OSSEC یوه پروژه ده چې په 2004 کې تاسیس شوې. دا پروژه، په عموم کې، د پرانیستې سرچینې امنیت څارنې پلیټ فارم په توګه مشخص کیدی شي چې د کوربه تحلیل او مداخلې کشف لپاره ډیزاین شوی. OSSEC په کال کې له 500000 څخه ډیر ځله ډاونلوډ کیږي. دا پلیټ فارم په عمده ډول په سرورونو کې د مداخلې کشف کولو وسیلې په توګه کارول کیږي. سربیره پردې، موږ د محلي او بادل سیسټمونو په اړه خبرې کوو. OSSEC اکثرا د اور وژنې د څارنې او تحلیل لاګونو معاینه کولو لپاره د یوې وسیلې په توګه هم کارول کیږي ، د ننوتلو کشف سیسټمونه ، ویب سرورونه ، او همدارنګه د تصدیق لاګونو مطالعې لپاره.

OSSEC د کوربه پر بنسټ د ننوتلو کشف سیسټم (HIDS) وړتیاوې د امنیت پیښې مدیریت (SIM) او د امنیت معلوماتو او پیښو مدیریت (SIEM) سیسټم سره ترکیب کوي. OSSEC کولی شي په ریښتیني وخت کې د فایل بشپړتیا څارنه وکړي. دا، د بیلګې په توګه، د وینډوز راجستر څارنه کوي او روټکیټونه کشف کوي. OSSEC د دې وړتیا لري چې په ریښتیني وخت کې د کشف شوي ستونزو په اړه شریکانو ته خبر ورکړي او د کشف شوي ګواښونو په چټکۍ سره ځواب ویلو کې مرسته وکړي. دا پلیټ فارم د مایکروسافټ وینډوز او ډیری عصري یونیکس په څیر سیسټمونو ملاتړ کوي ، پشمول لینکس ، فری بی ایس ڈی ، اوپن بی ایس ډی او سولاریس.

د OSSEC پلیټ فارم د مرکزي کنټرول ادارې څخه جوړ دی، یو مدیر چې د اجنټانو څخه د معلوماتو ترلاسه کولو او څارلو لپاره کارول کیږي (کوچني پروګرامونه چې په سیسټمونو کې نصب شوي چې نظارت ته اړتیا لري). مدیر په لینکس سیسټم کې نصب شوی، کوم چې د فایلونو بشپړتیا چک کولو لپاره کارول شوي ډیټابیس ذخیره کوي. دا د پیښو او د سیسټم پلټنې پایلې لاګونه او ریکارډونه هم ساتي.

د OSSEC پروژه اوس مهال د Atomicorp لخوا ملاتړ کیږي. شرکت د وړیا خلاصې سرچینې نسخه څارنه کوي، او سربیره پردې، وړاندیز کوي پراخه شوی د محصول تجارتي نسخه. دلته پوډکاسټ چې پکې د OSSEC پروژې مدیر د سیسټم وروستي نسخه - OSSEC 3.0 په اړه خبرې کوي. دا د پروژې تاریخ په اړه هم خبرې کوي، او دا څنګه د کمپیوټر امنیت په برخه کې کارول شوي عصري سوداګریز سیسټمونو څخه توپیر لري.

5. میرکات

سوریکاتا د خلاصې سرچینې پروژه ده چې د کمپیوټر امنیت اصلي ستونزو حل کولو تمرکز کوي. په ځانګړي توګه ، پدې کې د مداخلې کشف سیسټم ، د مداخلې مخنیوي سیسټم ، او د شبکې امنیت څارنې وسیله شامله ده.

دا محصول په 2009 کې څرګند شو. د هغه کار د قواعدو پر بنسټ دی. دا دی، هغه څوک چې دا کاروي د دې فرصت لري چې د شبکې ترافیک ځینې ځانګړتیاوې بیان کړي. که چیرې قاعده رامینځته شي ، سوریکاټا یو خبرتیا رامینځته کوي ، د شکمن پیوستون بندول یا لغوه کول ، کوم چې بیا په ټاکل شوي مقرراتو پورې اړه لري. پروژه د څو اړخیزو عملیاتو ملاتړ هم کوي. دا د دې امکان رامینځته کوي چې په شبکه کې د لوی شمیر مقرراتو په چټکۍ سره پروسس شي چې لوی مقدار ترافیک لري. د ملټي تریډینګ ملاتړ څخه مننه ، په بشپړ ډول عادي سرور د 10 Gbit / s سرعت سره سفر کولو ترافیک په بریالیتوب سره تحلیل کولی شي. په دې حالت کې، مدیر اړتیا نلري چې د ترافیک تحلیل لپاره کارول شوي مقررات محدود کړي. Suricata د هش کولو او فایل ترلاسه کولو ملاتړ هم کوي.

سوریکاټا په منظم سرورونو یا مجازی ماشینونو کې د چلولو لپاره تنظیم کیدی شي ، لکه AWS ، په محصول کې د وروستي معرفي شوي فیچر په کارولو سره ترافیک څارنه.

پروژه د لوا سکریپټونو ملاتړ کوي، کوم چې د ګواښ لاسلیکونو تحلیل لپاره پیچلي او مفصل منطق رامینځته کولو لپاره کارول کیدی شي.

د سوریکاټا پروژه د خلاص معلوماتو امنیت بنسټ (OISF) لخوا اداره کیږي.

6. زیک (برو)

لکه سوریکاتا، زیک (دا پروژه پخوا د برو په نوم یادیده او په بروکان 2018 کې د زیک نوم بدل شو) د مداخلې کشف سیسټم او د شبکې امنیت څارنې وسیله هم ده چې کولی شي بې نظمۍ لکه مشکوک یا خطرناک فعالیت کشف کړي. Zeek په دې کې د دودیز IDS څخه توپیر لري، د قواعدو پر بنسټ سیسټمونو برعکس چې استثناوې کشفوي، Zeek په شبکه کې د څه پیښیږي سره تړلي میټاډاټا هم نیسي. دا د دې لپاره ترسره کیږي چې د شبکې غیر معمولي چلند شرایطو ښه پوه شي. دا د مثال په توګه، د HTTP کال تحلیل کولو یا د امنیتي سندونو تبادلې پروسې تحلیل کولو ته اجازه ورکوي، پروتوکول وګورئ، د پاکټ سرلیکونو کې، په ډومین نومونو کې.

که موږ Zeek د شبکې د امنیت وسیله په توګه وګورو، نو موږ کولی شو ووایو چې دا یو متخصص ته فرصت ورکوي چې د پیښې څخه مخکې یا د پیښې په جریان کې د پیښې په اړه زده کړه وکړي. Zeek د شبکې ترافیک ډیټا د لوړې کچې پیښو کې هم بدلوي او د سکریپټ ژباړونکي سره د کار کولو وړتیا چمتو کوي. ژباړونکی د پروګرام کولو ژبې ملاتړ کوي چې د پیښو سره د تعامل لپاره کارول کیږي او دا معلومه کړي چې دا پیښې د شبکې امنیت په شرایطو کې څه معنی لري. د زیک پروګرام کولو ژبه د دې لپاره کارول کیدی شي چې د یو ځانګړي سازمان اړتیاو سره سم د میټاډاټا تشریح کولو څرنګوالی تنظیم کړي. دا تاسو ته اجازه درکوي د AND، OR او NOT آپریټرونو په کارولو سره پیچلي منطقي شرایط رامینځته کړئ. دا کاروونکو ته دا وړتیا ورکوي چې د دوی چاپیریال څنګه تحلیل شي دودیز کړي. په هرصورت، دا باید په پام کې ونیول شي چې د Suricata په پرتله، Zeek کیدای شي د یوې پیچلې وسیلې په څیر ښکاري کله چې د امنیتي ګواښ کشف ترسره کول.

که تاسو د Zeek په اړه نور جزییات لیوالتیا لرئ، مهرباني وکړئ اړیکه ونیسئ دا ویډیو.

7. پینتر

پينځه د دوامداره امنیت څارنې لپاره یو پیاوړی ، په اصلي ډول کلاوډ اصلي پلیټ فارم دی. دا پدې وروستیو کې د خلاصې سرچینې کټګورۍ ته لیږدول شوی. اصلي معمار د پروژې په اصل کې دی StreamAlert - د اتوماتیک لاګ تحلیل لپاره حلونه ، د کوم کوډ چې د ایر بی این بی لخوا خلاص شوی و. پینتر کارونکي ته یو واحد سیسټم ورکوي چې په مرکزي ډول په ټولو چاپیریال کې ګواښونه کشف کړي او دوی ته ځواب تنظیم کړي. دا سیسټم د دې وړتیا لري چې د زیربنا د اندازې سره سم وده وکړي. د ګواښ کشف د شفافو، ټاکونکو مقرراتو پراساس دی ترڅو د امنیتي متخصصینو لپاره د غلط مثبت او غیر ضروري کاري بار کم کړي.

د Panther اصلي ځانګړتیاوو څخه په لاندې ډول دي:

  • د لاګونو تحلیل کولو سره سرچینو ته د غیر مجاز لاسرسي کشف کول.
  • د ګواښ کشف، د شاخصونو لپاره د لاګونو لټون کولو سره پلي کیږي چې امنیتي ستونزې څرګندوي. لټون د پینټر د معیاري معلوماتو ساحو په کارولو سره ترسره کیږي.
  • په کارولو سره د SOC/PCI/HIPAA معیارونو سره موافقت لپاره سیسټم چیک کول سرایت شوی د پینتر میکانیزمونه.
  • د خپل بادل سرچینې په اتوماتيک ډول د تشکیلاتو غلطیو سمولو سره خوندي کړئ چې د برید کونکو لخوا ناوړه ګټه اخیستنه کې جدي ستونزې رامینځته کولی شي.

پینتر د AWS کلاوډ فارمیشن په کارولو سره د یوې ادارې AWS کلاوډ کې ځای په ځای شوی. دا کارونکي ته اجازه ورکوي چې تل د هغه د معلوماتو کنټرول کې وي.

پایلې

د نظارت سیسټم امنیت پدې ورځو کې یو مهم کار دی. د دې ستونزې په حل کې، د هرې اندازې شرکتونو سره د خلاصې سرچینې وسیلو سره مرسته کیدی شي چې ډیری فرصتونه چمتو کوي او تقریبا هیڅ لګښت نلري یا وړیا دي.

ګرانو لوستونکو! تاسو د امنیت د څارنې کوم وسایل کاروئ؟

د بادل سیسټمونو امنیت څارنې لپاره 7 خلاصې سرچینې وسیلې چې په اړه یې پوهیدل ارزښت لري

سرچینه: www.habr.com

Add a comment