Qaadashada baahsan ee xisaabinta daruuraha waxay ka caawisaa shirkadaha inay kor u qaadaan ganacsigooda. Laakiin isticmaalka aaladaha cusub waxay sidoo kale ka dhigan tahay soo bixitaanka hanjabaado cusub. Ku-ilaalinta kooxdaada gudaha hay'ad mas'uul ka ah la socodka amniga adeegyada daruuraha maaha hawl fudud. Qalabka la socodka ee jira waa qaali waana gaabis. Way adag tahay, ilaa xad, in la maareeyo marka ay timaaddo xaqiijinta kaabayaasha daruuriga ah ee baaxadda leh. Si loo ilaaliyo badbaadadooda daruuriga ah heer sare, shirkaduhu waxay u baahan yihiin qalab awood leh, dabacsanaan, iyo dareen leh oo ka baxsan wixii hore loo heli jiray. Halkani waa halka ay tignoolajiyada il furani ay si aad ah u anfacayso, kaa caawinaysa in la badbaadiyo miisaaniyada amniga oo ay abuuraan khabiiro wax badan ka yaqaan ganacsigooda.
Maqaalka, tarjumaadda aan daabaceyno maanta, ayaa bixisa dulmar ku saabsan 7 qalab il furan oo lagula socdo ammaanka nidaamyada daruuraha. Aaladahaan waxaa loogu talagalay inay ka difaacaan tuugada iyo dambiilayaasha internetka iyagoo ogaanaya cilladaha iyo dhaqdhaqaaqyada aan badbaadada lahayn.
1. Dulmiga
waa nidaam loogu talagalay kormeerka hoose iyo falanqaynta nidaamyada hawlgalka kaas oo u oggolaanaya xirfadlayaasha amniga inay sameeyaan xog-ururin adag oo isticmaalaya SQL. Qaabka Osquery wuxuu ku shaqayn karaa Linux, macOS, Windows iyo FreeBSD. Waxay u taagan tahay nidaamka qalliinka (OS) sida xog-ururineed oo waxqabad sare leh. Tani waxay u oggolaanaysaa khabiirada amniga inay baaro OS-ka iyagoo ku socodsiinaya weydiimaha SQL. Tusaale ahaan, adoo isticmaalaya su'aal, waxaad ka heli kartaa wax ku saabsan socodsiinta hababka, qaybaha kernel-ka ee raran, isku xirka shabakada furan, kordhinta browserka la rakibay, dhacdooyinka qalabka, iyo xashiishka faylka.
Qaabka Osquery waxaa sameeyay Facebook. Koodhkeeda ayaa la furay 2014, ka dib markii shirkaddu ay ogaatay in aysan ahayn lafteeda oo kaliya oo u baahan qalab si ay ula socoto hababka hoose ee nidaamyada hawlgalka. Tan iyo markaas, Osquery waxaa isticmaalay khabiiro ka socda shirkadaha sida Dactiv, Google, Kolide, Trail of Bits, Uptycs, iyo kuwo kale oo badan. Dhawaan ayay ahayd in Linux Foundation iyo Facebook ay sameynayaan sanduuq lagu taageerayo Osquery.
Osquery's host monitoring daemon, loo yaqaan osqueryd, wuxuu kuu ogolaanayaa inaad jadwal u sameysato weydiimaha xogta ka aruuriya kaabayaasha ururkaaga. Daemon-ku wuxuu ururiyaa natiijooyinka weydiinta wuxuuna abuuraa qoraallo ka tarjumaya isbeddellada xaaladda kaabayaasha. Tani waxay ka caawin kartaa xirfadlayaasha amniga inay la socdaan heerka nidaamka waxayna si gaar ah faa'iido u leedahay aqoonsiga cilladaha. Awoodaha isu geynta log ee Osquery waxaa loo isticmaali karaa in lagugu caawiyo helida malware-ka la yaqaan iyo kuwa aan la aqoon, iyo sidoo kale in la ogaado meelaha ay weeraryahanadu ka galeen nidaamkaaga oo aad hesho barnaamijyada ay rakibeen. Ka akhriso wax badan oo ku saabsan ogaanshaha cilladda adoo isticmaalaya Osquery.
2.GoAudit
nidaamka waxa uu ka kooban yahay laba qaybood oo waaweyn. Midda kowaad waa kood heerka kernel-ka ah oo loogu talagalay in lagu dhex galo oo lala socdo wicitaannada nidaamka. Qaybta labaad waa daemon space user loo yaqaan . Waxay mas'uul ka tahay inay natiijada xisaabaadka ku qorto saxanka. , nidaam ay samaysay shirkadu oo la sii daayay 2016, oo loogu talagalay in lagu beddelo hanti-dhowrka. Waxa ay wanaajisay awoodaha qorida iyada oo u beddeshay fariimaha dhacdooyinka xariiqaha badan ee uu soo saaray nidaamka xisaabinta Linux oo u rogay hal-baloog JSON ah si ay u sahlanaato falanqaynta. GoAudit, waxaad si toos ah u geli kartaa hababka heerka kernel ee shabakada. Intaa waxaa dheer, waxaad awood u yeelan kartaa shaandhaynta ugu yar ee dhacdada martigeliyaha laftiisa (ama gebi ahaanba baabi'in shaandhaynta). Isla mar ahaantaana, GoAudit waa mashruuc aan loogu talagalin oo keliya in lagu sugo amniga. Qalabkan waxaa loo qaabeeyey sidii qalab sifo qani ah u ah taageerada nidaamyada ama xirfadlayaasha horumarinta. Waxay ka caawisaa la dagaallanka dhibaatooyinka ka jira kaabayaasha waaweyn.
Nidaamka GoAudit wuxuu ku qoran yahay Golang. Waa luqad badbaado leh oo heersare ah. Kahor intaadan rakibin GoAudit, hubi in nooca Golang uu ka sarreeyo 1.7.
3. Garaac
Mashruuca (Graph Analytics Platform) ayaa loo wareejiyay qaybta isha furan bishii Maarso ee sanadkii hore. Waa goob cusub oo lagu ogaanayo arrimaha amniga, samaynta baaritaannada kombuyuutarka, iyo soo saarista warbixinnada shilalka. Weeraryahanadu waxay inta badan ku shaqeeyaan wax la mid ah qaabka garaafyada, iyagoo gacanta ku haya hal nidaam iyo sahaminta nidaamyada kale ee shabakadaha ee ka bilaabma nidaamkaas. Sidaa darteed, waa wax dabiici ah in difaacayaasha nidaamku ay sidoo kale isticmaali doonaan hannaan ku salaysan qaabka jaantuska isku xirka nidaamyada shabakadaha, iyada oo la tixgelinayo sifooyinka gaarka ah ee xiriirka ka dhexeeya nidaamyada. Grapl waxa uu muujiyaa isku day lagu doonayo in lagu sameeyo ogaanshaha shilka iyo tallaabooyinka jawaab celinta ee ku salaysan qaabka garaaf halkii uu ka ahaan lahaa qaabka log.
Qalabka Grapl wuxuu qaataa diiwaannada amniga la xiriira (Logyada Sysmon ama diiwaanka qaabka JSON ee caadiga ah) oo u beddela garaafyo-hoosaadyo (oo qeexaya "aqoonsiga" noode kasta). Intaa ka dib, waxa ay isku gaysaa garaaf-hoosaadyada garaaf guud (Master Graph), kaas oo u taagan ficillada lagu sameeyay deegaannada la falanqeeyay. Grapl ka dib wuxuu ku socodsiiyaa Falanqeeyayaasha garaafka ka soo baxa isagoo isticmaalaya "saxiixa weerarka" si loo ogaado cilladaha iyo qaababka shakiga leh. Marka falanqeeyuhu aqoonsado garaaf-hoosaadyo shaki leh, Grapl wuxuu abuuraa dhisme ka-qaybgal oo loogu talagalay in lagu baaro. Ka-qaybgalku waa fasal Python ah oo la rari karo, tusaale ahaan, Buugga Xusuus-qorka Jupyter ee la geeyay deegaanka AWS. Grapl, ka sokow, waxay kordhin kartaa miisaanka ururinta macluumaadka ee baaritaanka shilka iyada oo loo marayo ballaarinta garaafka.
Haddii aad rabto inaad si fiican u fahamto Grapl, waad eegi kartaa muuqaal xiiso leh - duubista waxqabadka BSides Las Vegas 2019.
4. OSSEC
waa mashruuc la aasaasay 2004tii. Mashruucan, guud ahaan, waxaa lagu tilmaami karaa inuu yahay goob la socodka amniga il furan oo loogu talagalay falanqaynta martida loo yahay iyo ogaanshaha soo gelitaanka. OSSEC waxaa la soo dejiyaa in ka badan 500000 jeer sanadkii. Goobtan waxaa inta badan loo adeegsadaa si loo ogaado faragelinta server-yada. Waxaa intaa dheer, waxaan ka hadlaynaa nidaamyada maxalliga ah iyo kuwa daruuraha labadaba. OSSEC sidoo kale waxaa badanaa loo isticmaalaa qalab lagu baadho la socodka iyo falanqaynta diiwaanka dab-damiska, hababka ogaanshaha soo-galitaanka, server-yada shabakadda, iyo sidoo kale barashada diiwaannada aqoonsiga.
OSSEC waxay isku daraysaa awoodaha Nidaamka Ogaanshaha Soo Galitaanka Ku-salaysan Marti-gelinta (HIDS) iyo Maaraynta Dhacdada Amniga (SIM) iyo Nidaamka Maareynta Amniga iyo Maareynta Dhacdada (SIEM). . OSSEC sidoo kale waxay la socon kartaa daacadnimada faylka wakhtiga dhabta ah. Tani, tusaale ahaan, waxay la socotaa diiwaanka Windows waxayna ogaataa rootkits. OSSEC waxay awood u leedahay inay ogeysiiso daneeyayaasha dhibaatooyinka la ogaado wakhtiga dhabta ah waxayna ka caawisaa inay si dhakhso ah uga jawaabto hanjabaadaha la ogaado. Madalkani waxa uu taageeraa Microsoft Windows iyo hababka casriga ah ee u eg Unix, oo ay ku jiraan Linux, FreeBSD, OpenBSD iyo Solaris.
Qalabka OSSEC wuxuu ka kooban yahay maamule dhexe, maamule, loo isticmaalo inuu helo oo la socdo macluumaadka wakiilada (barnaamijyada yaryar ee lagu rakibay nidaamyada u baahan in la kormeero). Maareeyaha waxa lagu rakibay nidaam Linux ah, kaas oo kaydiya kaydka xogta loo isticmaalo in lagu hubiyo daacadnimada faylalka. Waxa kale oo ay kaydisaa diiwaannada iyo diiwaannada dhacdooyinka iyo natiijooyinka xisaabinta nidaamka.
Mashruuca OSSEC waxaa hadda taageera Atomcorp. Shirkaddu waxay kormeertaa nooca isha furan ee bilaashka ah, iyo, marka lagu daro, waxay bixisaa nooca ganacsiga ee alaabta. podcast kaas oo maamulaha mashruuca OSSEC uu kaga hadlayo nooca ugu dambeeyay ee nidaamka - OSSEC 3.0. Waxa kale oo ay ka hadlaysaa taariikhda mashruuca, iyo sida uu uga duwan yahay hababka ganacsi ee casriga ah ee loo isticmaalo dhinaca amniga kombiyuutarka.
5. meerkat
waa mashruuc il furan oo diiradda lagu saarayo xallinta dhibaatooyinka ugu waaweyn ee amniga kombiyuutarka. Gaar ahaan, waxaa ka mid ah nidaamka ogaanshaha faragelinta, nidaamka ka hortagga faragelinta, iyo aaladda ilaalinta amniga shabakadda.
Alaabtani waxay soo muuqatay 2009. Shaqadiisu waxay ku salaysan tahay xeerar. Taasi waa, kan isticmaala wuxuu leeyahay fursad uu ku qeexo sifooyinka qaar ee taraafikada shabakada. Haddii qaanuunka la kiciyo, Suricata waxay soo saartaa ogeysiin, xannibaysa ama joojinaysa xidhiidhka shakiga leh, taas oo, mar kale, ku xiran tahay xeerarka la cayimay. Mashruucu waxa kale oo uu taageeraa hawlgalka isku xidhka badan. Tani waxay suurtogal ka dhigaysaa in si degdeg ah loo farsameeyo tiro badan oo sharciyo ah oo ku jira shabakadaha kuwaas oo qaada tiro badan oo taraafikada. Waad ku mahadsantahay taageerada isku xidhka badan, adeegaha caadiga ah ee gabi ahaanba waxa uu awoodaa in uu si guul leh u falanqeeyo taraafikada ku socda xawaare dhan 10 Gbit/s. Xaaladdan oo kale, maamuluhu maaha inuu xaddido xeerarka loo isticmaalo falanqaynta taraafikada. Suricata waxay kaloo taageertaa xashiishada iyo soo celinta faylka.
Suricata waxaa loo habeyn karaa inay ku shaqeyso server-yada caadiga ah ama mashiinnada farsamada, sida AWS, iyadoo la adeegsanayo sifo dhowaan la soo bandhigay ee alaabta. .
Mashruucu wuxuu taageerayaa qoraallada Lua, kaas oo loo isticmaali karo in lagu abuuro caqli-gal adag oo faahfaahsan oo lagu falanqeeyo saxeexyada khatarta ah.
Mashruuca Suricata waxaa maamula Aasaaska Amniga Macluumaadka Furan (OISF).
6. Zeek (Bro)
Sida Suricata, (mashruucan waxaa hore loogu yeeri jiray Bro waxaana loo magacaabay Zeek at BroCon 2018) sidoo kale waa nidaamka ogaanshaha soo galitaanka iyo aaladda la socodka amniga shabakada kaas oo ogaan kara cilladaha sida dhaqdhaqaaqyada laga shakiyo ama khatarta ah. Zeek wuxuu kaga duwan yahay IDS-ka dhaqameed taas, si ka duwan nidaamyada qaanuunka ku salaysan ee ogaanaya ka-reebitaanka, Zeek wuxuu kaloo qabtaa xogta badan ee la xidhiidha waxa ka dhacaya shabakadda. Tan waxaa loo sameeyaa si si fiican loo fahmo macnaha guud ee dabeecadaha shabakadaha aan caadiga ahayn. Tani waxay u oggolaanaysaa, tusaale ahaan, iyadoo la falanqeynayo wicitaanka HTTP ama nidaamka beddelashada shahaadooyinka amniga, si loo eego borotokoolka, madaxa xirmooyinka, magacyada domainka.
Haddii aan u tixgelinno Zeek sida aaladda amniga shabakadda, markaa waxaan dhihi karnaa inay siiso khabiir ku takhasusay fursad uu ku baaro dhacdo isagoo baranaya wixii dhacay ka hor ama inta lagu jiro shilka. Zeek sidoo kale wuxuu u beddelaa xogta taraafikada shabakada dhacdooyin heer sare ah wuxuuna bixiyaa awooda uu kula shaqeeyo turjumaan qoraal ah. Turjubaanka waxa uu taageeraa luuqada barnaamijka loo isticmaalo in lagula falgalo dhacdooyinka iyo in la ogaado micnaha dhabta ah ee dhacdooyinkaas marka la eego amniga shabakada. Luuqadda barnaamijka ee Zeek waxa loo isticmaali karaa in lagu habeeyo sida xogta badan loo fasiro si ay ugu habboonaato baahiyaha urur gaar ah. Waxay kuu ogolaanaysaa inaad dhisto xaalado macquul ah oo adag adoo isticmaalaya AND, AMA iyo MA hawlwadeenada. Tani waxay siinaysaa isticmaalayaasha awood ay ku habeeyaan sida deegaankooda loo falanqeeyo. Si kastaba ha ahaatee, waa in la ogaadaa in, marka la barbardhigo Suricata, Zeek laga yaabo inay u ekaato qalab aad u adag marka la samaynayo sahamin khatarta amniga.
Haddii aad xiisaynayso faahfaahin dheeraad ah oo ku saabsan Zeek, fadlan la xidhiidh fiidiyow.
7. Panther
waa goob awood leh, asal ahaan daruur-dhalad ah oo loogu talagalay la socodka joogtada ah ee amniga. Waxaa dhawaan loo wareejiyay qaybta isha furan. Naqshadeeyaha ugu weyn wuxuu ku yaalaa asalka mashruuca - xalalka falanqaynta log-ta tooska ah, koodka kaas oo ay furtay Airbnb. Panther wuxuu siinayaa isticmaalaha hal nidaam si uu u dhexda uga ogaado khataraha deegaanka oo dhan iyo abaabulka jawaabta iyaga. Nidaamkani waxa uu awood u leeyahay in uu kordho iyada oo ay la socoto xajmiga kaabayaasha loo adeegayo. Ogaanshaha khatartu waxay ku salaysan tahay hufnaan, xeerar go'aamin kara si loo yareeyo waxtarka beenta ah iyo culayska shaqada ee aan loo baahnayn ee xirfadlayaasha amniga.
Tilmaamaha ugu muhiimsan ee Panther waa kuwan soo socda:
- Ogaanshaha gelitaanka aan la oggolayn ee ilaha iyadoo la falanqeynayo diiwaannada.
- Ogaanshaha khatarta, oo lagu hirgeliyay raadinta diiwaannada tilmaamayaasha tilmaamaya dhibaatooyinka amniga. Baaritaanka waxaa lagu sameeyaa iyadoo la adeegsanayo goobaha xogta ee Panter's standard.
- Hubinta nidaamka u hoggaansanaanta heerarka SOC/PCI/HIPAA iyadoo la isticmaalayo Hababka Panther.
- Ilaali ilahaaga daruuraha adiga oo si toos ah u saxaya khaladaadka qaabaynta ee sababi kara dhibaatooyin halis ah haddii ay ka faa'iidaystaan ββkuwa wax weeraray.
Panther waxa la geeyaa daruuraha ururka ee AWS iyadoo la adeegsanayo AWS CloudFormation. Tani waxay u ogolaaneysaa isticmaaluhu inuu mar walba gacanta ku hayo xogtiisa.
Natiijooyinka
Ammaanka nidaamka la socodka waa hawl muhiim ah maalmahan. Xallinta dhibaatadan, shirkadaha cabbir kasta waxaa lagu caawin karaa qalab il furan oo bixiya fursado badan oo wax ku ool ah ama bilaash ah.
Akhristayaasha sharafta leh! Waa maxay agabka ilaalinta amniga ee aad isticmaasho?
Source: www.habr.com