ڪلائوڊ ڪمپيوٽنگ جي وسيع اپنائڻ سان ڪمپنين کي سندن ڪاروبار کي ماپڻ ۾ مدد ملندي آهي. پر نئين پليٽ فارمن جي استعمال جو مطلب پڻ نئين خطرن جي اڀرڻ جو مطلب آهي. ڪلائوڊ سروسز جي حفاظت جي نگراني لاءِ ذميوار تنظيم جي اندر پنهنجي ٽيم کي برقرار رکڻ ڪو آسان ڪم ناهي. موجوده نگراني جا اوزار قيمتي ۽ سست آهن. اهي آهن، ڪنهن حد تائين، انتظام ڪرڻ ڏکيو آهي جڏهن اهو اچي ٿو وڏي پيماني تي ڪلائوڊ انفراسٽرڪچر کي محفوظ ڪرڻ. انهن جي ڪلائوڊ سيڪيورٽي کي اعليٰ سطح تي رکڻ لاءِ، ڪمپنين کي طاقتور، لچڪدار، ۽ وجداني اوزارن جي ضرورت آهي جيڪي اڳي ئي موجود هئا. هي اهو آهي جتي اوپن سورس ٽيڪنالاجيون تمام ڪارائتيون آهن، حفاظتي بجيٽ بچائڻ ۾ مدد ڪندي ۽ ماهرن طرفان ٺاهيا ويندا آهن جيڪي انهن جي ڪاروبار بابت گهڻو ڪجهه ڄاڻن ٿا.
مضمون، جنهن جو ترجمو اڄ اسين شايع ڪري رهيا آهيون، ڪلائوڊ سسٽم جي حفاظت جي نگراني لاءِ 7 اوپن سورس ٽولز جو هڪ جائزو مهيا ڪري ٿو. اهي اوزار ٺاهيا ويا آهن هيڪرز ۽ سائبر ڪرمنلز جي خلاف حفاظت ڪرڻ لاءِ بي ضابطگين ۽ غير محفوظ سرگرمين کي ڳولڻ سان.
1. آسڪر
آپريٽنگ سسٽم جي هيٺين سطح جي نگراني ۽ تجزيو لاءِ هڪ نظام آهي جيڪو سيڪيورٽي پروفيشنلز کي SQL استعمال ڪندي پيچيده ڊيٽا مائننگ ڪرڻ جي اجازت ڏئي ٿو. Osquery فريم ورڪ لينڪس، macOS، ونڊوز ۽ FreeBSD تي هلائي سگھي ٿو. اهو آپريٽنگ سسٽم (OS) جي نمائندگي ڪري ٿو هڪ اعلي ڪارڪردگي لاڳاپو ڊيٽابيس جي طور تي. هي سيڪيورٽي ماهرن کي SQL سوالن کي هلائڻ سان OS کي جانچڻ جي اجازت ڏئي ٿو. مثال طور، سوال استعمال ڪندي، توھان ڳولي سگھوٿا ھلندڙ عملن بابت، لوڊ ٿيل ڪرنل ماڊلز، کليل نيٽ ورڪ ڪنيڪشن، انسٽال ٿيل برائوزر ايڪسٽينشن، هارڊويئر واقعن، ۽ فائل ھيشز.
Osquery فريم ورڪ Facebook پاران ٺاهي وئي. ان جو ڪوڊ 2014 ۾ اوپن سورس ڪيو ويو، ڪمپنيءَ کي محسوس ٿيڻ کان پوءِ ته اها نه رڳو پاڻ ئي هئي جنهن کي آپريٽنگ سسٽم جي هيٺين سطح جي ميڪانيزم جي نگراني لاءِ اوزارن جي ضرورت هئي. ان وقت کان وٺي، Osquery ڪمپنين جي ماهرن طرفان استعمال ڪيو ويو آهي جهڙوڪ ڊيڪٽيوٽ، گوگل، ڪولائيڊ، بٽس جو پيچرو، اپٽيڪس، ۽ ٻيا ڪيترائي. اهو تازو هو ته لينڪس فائونڊيشن ۽ فيس بڪ اوسڪري کي سپورٽ ڪرڻ لاءِ فنڊ ٺاهي رهيا آهن.
Osquery جي ميزبان مانيٽرنگ ڊيمون، جنهن کي osqueryd سڏيو ويندو آهي، توهان کي انهن سوالن کي شيڊول ڪرڻ جي اجازت ڏئي ٿو جيڪي توهان جي تنظيم جي انفراسٽرڪچر مان ڊيٽا گڏ ڪن ٿيون. ڊيمون سوالن جا نتيجا گڏ ڪري ٿو ۽ لاگ ٺاهي ٿو جيڪي انفراسٽرڪچر جي حالت ۾ تبديلين کي ظاهر ڪن ٿا. اهو مدد ڪري سگهي ٿو سيڪيورٽي پروفيشنلز کي سسٽم جي حالت کان باخبر رهڻ ۽ خاص طور تي ڪارائتو آهي سڃاڻپ ڪرڻ لاءِ. Osquery جي لاگ ايگريگيشن صلاحيتون استعمال ڪري سگھجن ٿيون توھان جي مدد لاءِ سڃاتل ۽ اڻڄاتل مالويئر کي ڳولڻ لاءِ، گڏو گڏ ان جي سڃاڻپ ڪرڻ لاءِ ته ڪٿي حملو ڪندڙ توھان جي سسٽم ۾ داخل ٿيا آھن ۽ ڳولھيو ته انھن ڪھڙا پروگرام انسٽال ڪيا آھن. Osquery استعمال ڪندي غير معمولي ڳولڻ بابت وڌيڪ پڙهو.
2. GoAudit
نظام ٻن مکيه حصن تي مشتمل آهي. پهريون ڪجهه ڪنيل-سطح ڪوڊ آهي جيڪو سسٽم ڪالن کي مداخلت ۽ مانيٽر ڪرڻ لاءِ ٺهيل آهي. ٻيو حصو هڪ صارف خلائي ڊيمون سڏيو ويندو آهي . اهو ڊسڪ تي آڊٽ نتيجن کي لکڻ لاء ذميوار آهي. ، ڪمپني پاران ٺاهيل هڪ سسٽم ۽ 2016 ۾ جاري ڪيو ويو، آڊٽ کي تبديل ڪرڻ جو ارادو ڪيو ويو. اهو لينڪس آڊيٽنگ سسٽم پاران ٺاهيل ملٽي لائن ايونٽ پيغامن کي آسان تجزيو لاءِ سنگل JSON بلبس ۾ تبديل ڪندي لاگنگ جي صلاحيتن کي بهتر ڪيو آهي. GoAudit سان، توهان سڌو سنئون نيٽ ورڪ تي ڪنيل-سطح ميڪانيزم تائين رسائي ڪري سگهو ٿا. ان کان علاوه، توھان چالو ڪري سگھو ٿا گھٽ ۾ گھٽ ايونٽ فلٽرنگ پاڻ ھوسٽ تي (يا فلٽرنگ کي مڪمل طور تي بند ڪريو). ساڳئي وقت، GoAudit هڪ منصوبو آهي جيڪو نه رڳو سيڪيورٽي کي يقيني بڻائڻ لاء ٺهيل آهي. هي اوزار سسٽم سپورٽ يا ڊولپمينٽ پروفيشنلز لاءِ خصوصيت سان ڀرپور اوزار طور ٺهيل آهي. اهو وڏي پئماني تي انفراسٽرڪچر ۾ مسئلن کي منهن ڏيڻ ۾ مدد ڪري ٿو.
GoAudit سسٽم گولانگ ۾ لکيل آهي. اها هڪ قسم جي محفوظ ۽ اعلي ڪارڪردگي واري ٻولي آهي. GoAudit انسٽال ڪرڻ کان اڳ، چيڪ ڪريو ته توھان جي گولانگ جو ورجن 1.7 کان مٿي آھي.
3. گرپل
پروجيڪٽ (گراف اينالائيٽڪس پليٽ فارم) گذريل سال مارچ ۾ اوپن سورس جي درجي ۾ منتقل ڪيو ويو. اهو هڪ نسبتا نئون پليٽ فارم آهي سيڪيورٽي مسئلن کي ڳولڻ، ڪمپيوٽر جي فارنڪس کي منظم ڪرڻ، ۽ واقعن جي رپورٽون پيدا ڪرڻ. حملو ڪندڙ اڪثر ڪري ڪم ڪندا آهن ڪا شيءِ استعمال ڪندي جهڙوڪ گراف ماڊل، هڪ سسٽم جو ڪنٽرول حاصل ڪرڻ ۽ ان سسٽم کان شروع ٿيندڙ ٻين نيٽ ورڪ سسٽم کي ڳولڻ. تنهن ڪري، اهو ڪافي قدرتي آهي ته سسٽم محافظ پڻ هڪ ميکانيزم استعمال ڪندا، جيڪو نيٽ ورڪ سسٽم جي ڪنيڪشن جي گراف جي ماڊل جي بنياد تي، سسٽم جي وچ ۾ لاڳاپن جي خاصيتن کي نظر ۾ رکندي. Grapl هڪ لاگ ماڊل جي ڀيٽ ۾ گراف ماڊل جي بنياد تي واقعن جي ڳولا ۽ جوابي قدمن کي لاڳو ڪرڻ جي ڪوشش ڏيکاري ٿو.
Grapl اوزار سيڪيورٽي سان لاڳاپيل لاگز (Sysmon لاگز يا باقاعده JSON فارميٽ ۾ لاگز) وٺندو آهي ۽ انهن کي سبگرافس ۾ تبديل ڪري ٿو (هر نوڊ لاءِ ”سڃاڻپ“ جي وضاحت ڪندي). ان کان پوء، اهو ذيلي گراف کي هڪ عام گراف (ماسٽر گراف) ۾ گڏ ڪري ٿو، جيڪو تجزيو ڪيل ماحول ۾ ڪيل ڪمن جي نمائندگي ڪري ٿو. Grapl پوءِ تجزيه نگارن کي هلائي ٿو نتيجي واري گراف تي ”حملو ڪندڙ دستخط“ استعمال ڪندي بي ضابطگين ۽ مشڪوڪ نمونن کي سڃاڻڻ لاءِ. جڏهن تجزيه ڪندڙ هڪ مشڪوڪ ذيلي گراف جي سڃاڻپ ڪري ٿو، گرافل ٺاهي ٿو هڪ مصروفيت جي تعمير جو مقصد تحقيق لاء. مصروفيت هڪ Python ڪلاس آهي جنهن کي لوڊ ڪري سگهجي ٿو، مثال طور، AWS ماحول ۾ مقرر ڪيل Jupyter Notebook ۾. Grapl، اضافي طور تي، گراف جي توسيع ذريعي واقعن جي تحقيقات لاء معلومات گڏ ڪرڻ جي پيماني کي وڌائي سگھي ٿو.
جيڪڏهن توهان بهتر سمجهڻ چاهيو ٿا Grapl، توهان هڪ نظر وٺي سگهو ٿا دلچسپ وڊيو - BSides لاس ويگاس 2019 کان ڪارڪردگي جي رڪارڊنگ.
4. او ايس ايس اي سي
2004 ۾ ٺھيل ھڪڙو منصوبو آھي. ھي پروجيڪٽ، عام طور تي، ھڪڙي اوپن سورس سيڪيورٽي مانيٽرنگ پليٽ فارم جي طور تي نمايان ٿي سگھي ٿو جيڪو ميزبان تجزيو ۽ مداخلت جي ڳولا لاءِ ٺاھيو ويو آھي. OSSEC هر سال 500000 ڀيرا وڌيڪ ڊائون لوڊ ڪيو ويو آهي. هي پليٽ فارم استعمال ڪيو ويندو آهي بنيادي طور تي سرور تي مداخلت کي ڳولڻ جو هڪ ذريعو. ان کان علاوه، اسان ٻنهي جي باري ۾ ڳالهائي رهيا آهيون مقامي ۽ بادل سسٽم. OSSEC پڻ عام طور تي استعمال ڪيو ويندو آهي هڪ اوزار جي طور تي معائنو ڪرڻ ۽ تجزيو لاگز جي نگراني ۽ تجزيو لاگز فائر والز، انٽروجن ڳولڻ سسٽم، ويب سرورز، ۽ پڻ تصديق جي لاگز جي مطالعي لاء.
OSSEC هڪ ميزبان جي بنياد تي مداخلت جي چڪاس سسٽم (HIDS) جي صلاحيتن کي سيڪيورٽي حادثو مينيجمينٽ (SIM) ۽ سيڪيورٽي انفارميشن ۽ ايونٽ مينيجمينٽ (SIEM) سسٽم سان گڏ ڪري ٿو. OSSEC پڻ حقيقي وقت ۾ فائل جي سالميت جي نگراني ڪري سگھي ٿو. اهو، مثال طور، ونڊوز رجسٽري کي مانيٽر ڪري ٿو ۽ روٽ ڪٽس کي ڳولي ٿو. OSSEC حقيقي وقت ۾ معلوم ٿيل مسئلن بابت اسٽيڪ هولڊرز کي مطلع ڪرڻ جي قابل آهي ۽ معلوم ٿيل خطرن کي جلدي جواب ڏيڻ ۾ مدد ڪري ٿي. هي پليٽ فارم Microsoft ونڊوز ۽ جديد يونڪس جهڙو سسٽم کي سپورٽ ڪري ٿو، بشمول لينڪس، فري بي ايس ڊي، اوپن بي ايس ڊي ۽ سولاريس.
OSSEC پليٽ فارم هڪ مرڪزي ڪنٽرول ادارو، هڪ مينيجر تي مشتمل آهي، جيڪو ايجنٽن کان معلومات حاصل ڪرڻ ۽ مانيٽر ڪرڻ لاءِ استعمال ڪيو ويندو آهي (ننڍا پروگرام جيڪي سسٽم تي نصب ٿيل آهن جن جي نگراني ڪرڻ جي ضرورت آهي). مينيجر هڪ لينڪس سسٽم تي نصب ٿيل آهي، جيڪو فائلن جي سالميت کي جانچڻ لاء استعمال ٿيل ڊيٽابيس کي محفوظ ڪري ٿو. اهو پڻ محفوظ ڪري ٿو لاگز ۽ رڪارڊ واقعن جا رڪارڊ ۽ سسٽم آڊٽ جا نتيجا.
OSSEC پروجيڪٽ هن وقت Atomicorp جي حمايت ڪئي آهي. ڪمپني هڪ مفت اوپن سورس ورزن جي نگراني ڪري ٿي، ۽ اضافي طور تي، آڇون پيداوار جو تجارتي نسخو. پوڊ ڪاسٽ جنهن ۾ OSSEC پروجيڪٽ مينيجر ڳالهائيندو آهي سسٽم جي جديد ورزن بابت - OSSEC 3.0. اهو پڻ پروجيڪٽ جي تاريخ بابت ڳالهائيندو آهي، ۽ اهو ڪيئن مختلف آهي جديد تجارتي سسٽم کان ڪمپيوٽر سيڪيورٽي جي شعبي ۾ استعمال ٿيل.
5. ميرڪت
هڪ اوپن سورس پروجيڪٽ آهي جيڪو ڪمپيوٽر سيڪيورٽي جي بنيادي مسئلن کي حل ڪرڻ تي مرکوز آهي. خاص طور تي، ان ۾ هڪ مداخلت جو پتو لڳائڻ وارو نظام، هڪ مداخلت روڪڻ وارو نظام، ۽ هڪ نيٽ ورڪ سيڪيورٽي مانيٽرنگ وارو اوزار شامل آهي.
هي پيداوار 2009 ع ۾ ظاهر ٿيو. سندس ڪم اصولن تي ٻڌل آهي. اهو آهي، جيڪو اهو استعمال ڪري ٿو ان کي نيٽ ورڪ ٽرئفڪ جي ڪجهه خاصيتن کي بيان ڪرڻ جو موقعو آهي. جيڪڏهن قاعدو شروع ڪيو ويو آهي، Suricata هڪ نوٽيفڪيشن ٺاهي ٿو، مشڪوڪ ڪنيڪشن کي بلاڪ ڪرڻ يا ختم ڪرڻ، جيڪو ٻيهر، مخصوص قاعدن تي منحصر آهي. پروجيڪٽ پڻ گھڻن موضوعن واري آپريشن کي سپورٽ ڪري ٿو. اهو اهو ممڪن بڻائي ٿو ته نيٽ ورڪن ۾ ضابطن جي هڪ وڏي تعداد کي جلدي پروسيس ڪرڻ لاء جيڪي ٽرئفڪ جي وڏي مقدار کي کڻندا آهن. ملٽي ٿريڊنگ سپورٽ جي مهرباني، هڪ مڪمل طور تي عام سرور ڪاميابيءَ سان 10 Gbit/s جي رفتار تي سفر ڪندي ٽرئفڪ جو تجزيو ڪرڻ جي قابل آهي. انهي صورت ۾، منتظم کي ٽرئفڪ جي تجزيو لاء استعمال ڪيل ضابطن جي سيٽ کي محدود ڪرڻ جي ضرورت ناهي. Suricata پڻ سپورٽ ڪري ٿو هيشنگ ۽ فائل ٻيهر حاصل ڪرڻ.
Suricata باقاعده سرورز تي هلائڻ لاءِ ترتيب ڏئي سگھجي ٿو يا ورچوئل مشينن تي، جهڙوڪ AWS، پراڊڪٽ ۾ تازو متعارف ٿيل خصوصيت استعمال ڪندي .
پروجيڪٽ لوا اسڪرپٽ کي سپورٽ ڪري ٿو، جيڪي خطري جي نشانين جي تجزيو لاء پيچيده ۽ تفصيلي منطق ٺاهڻ لاء استعمال ڪري سگھجن ٿيون.
Suricata پروجيڪٽ اوپن انفارميشن سيڪيورٽي فائونڊيشن (OISF) پاران منظم ڪيو ويو آهي.
6. زيڪ (برو)
Suricata وانگر، (هن پروجيڪٽ کي اڳ ۾ برو سڏيو ويندو هو ۽ ان جو نالو تبديل ڪيو ويو Zeek at BroCon 2018) پڻ هڪ مداخلت جو پتو لڳائڻ وارو نظام ۽ نيٽ ورڪ سيڪيورٽي مانيٽرنگ ٽول آهي جيڪو بي ضابطگين کي ڳولي سگهي ٿو جهڙوڪ مشڪوڪ يا خطرناڪ سرگرمي. Zeek ان ۾ روايتي IDS کان مختلف آهي، قاعدي تي ٻڌل سسٽم جي برعڪس جيڪي استثناء کي ڳوليندا آهن، Zeek پڻ نيٽ ورڪ تي ڇا ٿي رهيو آهي سان لاڳاپيل ميٽا ڊيٽا کي پڪڙي ٿو. اهو ڪيو ويو آهي بهتر سمجهڻ لاءِ غير معمولي نيٽ ورڪ رويي جي حوالي سان. هي اجازت ڏئي ٿو، مثال طور، هڪ HTTP ڪال جو تجزيو ڪندي يا سيڪيورٽي سرٽيفڪيٽن جي مٽاسٽا جي طريقيڪار، پروٽوڪول کي ڏسڻ لاءِ، پيڪٽ هيڊرز تي، ڊومين نالن تي.
جيڪڏهن اسان Zeek کي هڪ نيٽ ورڪ سيڪيورٽي ٽول طور سمجهون ٿا، ته پوءِ اسان اهو چئي سگهون ٿا ته اهو هڪ ماهرن کي واقعي جي تحقيق ڪرڻ جو موقعو ڏئي ٿو ته اهو ڄاڻڻ سان ته واقعي کان اڳ يا واقعي دوران ڇا ٿيو. Zeek نيٽ ورڪ ٽرئفڪ ڊيٽا کي اعلي سطحي واقعن ۾ تبديل ڪري ٿو ۽ هڪ اسڪرپٽ مترجم سان ڪم ڪرڻ جي صلاحيت فراهم ڪري ٿو. مترجم هڪ پروگرامنگ ٻولي کي سپورٽ ڪري ٿو جيڪا واقعن سان لهه وچڙ ۾ آڻڻ لاءِ استعمال ٿئي ٿي ۽ اهو معلوم ڪرڻ لاءِ ته انهن واقعن جو ڇا مطلب آهي نيٽ ورڪ سيڪيورٽي جي لحاظ کان. Zeek پروگرامنگ ٻولي استعمال ڪري سگھجي ٿي ڪسٽمائيز ڪرڻ لاءِ ته ڪيئن ميٽاڊيٽا کي هڪ مخصوص تنظيم جي ضرورتن مطابق تشريح ڪجي. اهو توهان کي AND، OR ۽ NOT آپريٽرز استعمال ڪندي پيچيده منطقي حالتون ٺاهڻ جي اجازت ڏئي ٿو. هي صارفين کي ڪسٽمائي ڪرڻ جي صلاحيت ڏئي ٿو ته ڪيئن انهن جي ماحول جو تجزيو ڪيو وڃي. بهرحال، اهو ياد رکڻ گهرجي ته، Suricata جي مقابلي ۾، Zeek شايد هڪ پيچيده اوزار وانگر لڳي سگهي ٿو جڏهن سيڪيورٽي خطري جي نگراني کي منظم ڪندي.
جيڪڏھن توھان دلچسپي وٺندا آھيو وڌيڪ تفصيل Zeek بابت، مھرباني ڪري رابطو ڪريو وڊيو.
7. پينٿر
مسلسل سيڪيورٽي مانيٽرنگ لاءِ هڪ طاقتور، ڪلائوڊ-آبائي پليٽ فارم آهي. اهو تازو منتقل ڪيو ويو اوپن سورس درجي ۾. مکيه معمار منصوبي جي شروعات تي آهي - خودڪار لاگ تجزيو لاءِ حل، جنهن جو ڪوڊ کوليو ويو ايئر بي اين بي. Panther صارف کي هڪ واحد سسٽم ڏئي ٿو مرڪزي طور تي سڀني ماحول ۾ خطرن کي ڳولڻ ۽ انهن جي جواب کي منظم ڪرڻ. اهو نظام وڌائڻ جي قابل آهي ان سان گڏ بنيادي ڍانچي جي خدمت ڪئي پئي وڃي. خطري جي نشاندهي شفاف، مقرري قاعدن تي ٻڌل آهي غلط مثبت ۽ سيڪيورٽي پروفيشنلز لاءِ غير ضروري ڪم لوڊ کي گهٽائڻ لاءِ.
Panther جي مکيه خاصيتن مان هيٺيان آهن:
- لاگن جي تجزيو ڪندي وسيلن تائين غير مجاز رسائي جي ڳولا.
- خطري جو پتو لڳائڻ، لاگ ان جي ڳولا ڪندي لاڳو ڪيو ويو اشارن لاءِ حفاظتي مسئلن جو اشارو. ڳولا پينٽر جي معياري ڊيٽا فيلڊ استعمال ڪندي ڪئي وئي آهي.
- استعمال ڪندي SOC/PCI/HIPAA معيارن جي تعميل لاءِ سسٽم چيڪ ڪري رهيو آهي Panther ميڪانيزم.
- توهان جي ڪلائوڊ وسيلن کي محفوظ ڪريو خودڪار طريقي سان ترتيب ڏيڻ جي غلطين کي درست ڪندي جيڪي سنگين مسئلا پيدا ڪري سگھن ٿيون جيڪڏهن حملو ڪندڙن طرفان استحصال ڪيو وڃي.
Panther AWS CloudFormation استعمال ڪندي تنظيم جي AWS ڪلائوڊ تي لڳايو ويو آهي. هي صارف کي هميشه پنهنجي ڊيٽا جي ڪنٽرول ۾ رکڻ جي اجازت ڏئي ٿو.
نتيجو
مانيٽرنگ سسٽم سيڪيورٽي انهن ڏينهن ۾ هڪ نازڪ ڪم آهي. هن مسئلي کي حل ڪرڻ ۾، ڪنهن به سائيز جي ڪمپنين کي اوپن سورس ٽولز جي مدد ڪري سگهجي ٿي جيڪي تمام گهڻا موقعا فراهم ڪن ٿا ۽ قيمت لڳ ڀڳ ڪجھ به نه آهن يا مفت آهن.
پيارا پڙهندڙن! توهان ڪهڙا سيڪيورٽي مانيٽرنگ اوزار استعمال ڪندا آهيو؟
جو ذريعو: www.habr.com