Kamohelo e atileng ea cloud computing e thusa lik'hamphani ho holisa khoebo ea tsona. Empa tšebeliso ea li-platform tse ncha e boetse e bolela ho hlaha ha litšokelo tse ncha. Ho boloka sehlopha sa hau ka har'a mokhatlo o ikarabellang bakeng sa ho beha leihlo ts'ireletso ea lits'ebeletso tsa maru ha se mosebetsi o bonolo. Lisebelisoa tse teng tsa ho beha leihlo li theko e boima ebile lia lieha. Ho isa boholeng bo itseng, ho thata ho li laola ha ho tluoa tabeng ea ho boloka lisebelisoa tse kholo tsa maru. Ho boloka ts'ireletso ea bona ea leru e le maemong a holimo, lik'hamphani li hloka lisebelisoa tse matla, tse tenyetsehang, le tse hlakileng tse fetang se neng se le teng pele. Mona ke moo theknoloji ea mehloli e bulehileng e sebetsang haholo, e thusang ho boloka lichelete tsa ts'ireletso le ho etsoa ke litsebi tse tsebang haholo ka khoebo ea bona.
Sengoliloeng, phetolelo eo re e phatlalatsang kajeno, e fana ka kakaretso ea lisebelisoa tse 7 tse bulehileng bakeng sa ho beha leihlo ts'ireletso ea lits'ebetso tsa maru. Lisebelisoa tsena li etselitsoe ho sireletsa khahlanong le linokoane le linokoane tsa marang-rang ka ho lemoha liphapang le liketso tse sa sireletsehang.
1. Osquery
ke mokhoa oa ho shebella le ho hlahloba lits'ebetso tse tlaase tse lumellang litsebi tsa ts'ireletso ho etsa merafo e rarahaneng ea data ho sebelisa SQL. Moralo oa Osquery o ka sebetsa ho Linux, macOS, Windows le FreeBSD. E emela sistimi ea ts'ebetso (OS) joalo ka polokelo ea litaba e sebetsang hantle haholo. Sena se lumella litsebi tsa ts'ireletso ho hlahloba OS ka ho botsa lipotso tsa SQL. Mohlala, ha u sebelisa potso, u ka tseba ka lits'ebetso tse sebetsang, li-module tsa kernel tse laetsoeng, likhokahano tsa marang-rang tse bulehileng, li-extensions tsa sebatli tse kentsoeng, liketsahalo tsa Hardware le li-hashes tsa faele.
Moralo oa Osquery o entsoe ke Facebook. Khoutu ea eona e ne e bulehile ka 2014, ka mor'a hore k'hamphani e hlokomele hore e ne e se eona feela e hlokang lisebelisoa tsa ho shebella mekhoa e tlaase ea mekhoa ea ho sebetsa. Ho tloha ka nako eo, Osquery e 'nile ea sebelisoa ke litsebi tse tsoang lik'hamphani tse kang Dactiv, Google, Kolide, Trail of Bits, Uptycs, le tse ling tse ngata. E ne e sa tsoa feta hore Linux Foundation le Facebook li tlo theha letlole ho tšehetsa Osquery.
Daemon e hlokomelang moamoheli oa Osquery, e bitsoang osqueryd, e u lumella ho hlophisa lipotso tse bokellang datha ho tsoa meahong eohle ea mokhatlo oa hau. Daemon e bokella liphetho tsa lipotso ebe e etsa li-log tse bonts'ang liphetoho boemong ba meralo ea motheo. Sena se ka thusa litsebi tsa ts'ireletso hore li lule li tseba boemo ba sistimi 'me li bohlokoa haholo ho tsebahatsa mathata. Bokhoni ba ho bokella lintlha tsa Osquery bo ka sebelisoa ho u thusa ho fumana malware a tsebahalang le a sa tsejoeng, hammoho le ho tseba hore na bahlaseli ba kentse sistimi ea hau hokae le ho fumana hore na ba kentse mananeo afe. Bala haholoanyane mabapi le ho lemoha ka mokhoa o sa tloaelehang u sebelisa Osquery.
2.GoAudit
tsamaiso e khopo e na le likarolo tse peli tse kholo. Ea pele ke khoutu ea boemo ba kernel e etselitsoeng ho thibela le ho lekola mehala ea sistimi. Karolo ea bobeli ke daemon ea sebaka sa mosebelisi e bitsoang . E na le boikarabello ba ho ngola liphetho tsa tlhahlobo ho disk. , tsamaiso e entsoeng ke k'hamphani mme e lokollotswe ka 2016, e reretsoeng ho nka sebaka sa auditd. E ntlafalitse bokhoni ba ho rema lifate ka ho fetolela melaetsa ea liketsahalo tsa mela e mengata e hlahisoang ke sistimi ea tlhahlobo ea Linux hore e be li-blobs tse le 'ngoe tsa JSON bakeng sa tlhahlobo e bonolo. Ka GoAudit, o ka fihlella ka kotloloho mekhoa ea boemo ba kernel holim'a marang-rang. Ntle le moo, o ka etsa hore ho sefa ho honyenyane ha ketsahalo ho moamoheli ka boeona (kapa ho tima ho sefa ka botlalo). Ka nako e ts'oanang, GoAudit ke projeke e etselitsoeng eseng feela ho netefatsa ts'ireletso. Sesebelisoa sena se entsoe e le sesebelisoa se nang le likarolo tse ngata bakeng sa ts'ehetso ea sistimi kapa litsebi tsa nts'etsopele. E thusa ho loants'a mathata lits'ebetsong tse kholo.
Sistimi ea GoAudit e ngotsoe ka Golang. Ke puo e bolokehileng le e sebetsang hantle haholo. Pele o kenya GoAudit, hlahloba hore mofuta oa hau oa Golang o phahame ho feta 1.7.
3. Grapl
Morero (Graph Analytics Platform) e fetiselitsoe sehlopheng sa mohloli o bulehileng ka Hlakubele selemong se fetileng. Ke sethala se secha sa ho bona litaba tsa ts'ireletso, ho etsa li-forensics tsa komporo, le ho hlahisa litlaleho tsa liketsahalo. Hangata bahlaseli ba sebetsa ba sebelisa ntho e kang mohlala oa graph, ho fumana taolo ea tsamaiso e le 'ngoe le ho hlahloba mekhoa e meng ea marang-rang ho tloha tsamaisong eo. Ka hona, ke ntho ea tlhaho hore basireletsi ba sistimi ba tla sebelisa mokhoa o ipapisitseng le mohlala oa graph ea likhokahano tsa litsamaiso tsa marang-rang, ho nahanoa ka makhabane a likamano lipakeng tsa litsamaiso. Grapl e bontša boiteko ba ho kenya ts'ebetsong mekhoa ea ho lemoha le ho arabela ho latela mohlala oa kerafo ho e-na le mohlala oa log.
Sesebelisoa sa Grapl se nka lits'oants'o tse amanang le ts'ireletso (li-logs tsa Sysmon kapa li-logs ka mokhoa o tloaelehileng oa JSON) ebe li li fetolela ho li-subgraphs (tse hlalosang "boitsebahatso" bakeng sa node ka 'ngoe). Ka mor'a moo, e kopanya li-subgraphs hore e be kerafo e tloaelehileng (Master Graph), e emelang liketso tse etsoang libakeng tse hlahlobiloeng. Joale Grapl e tsamaisa li-Analyzers ho kerafo e hlahisoang e sebelisa "masaeno a bahlaseli" ho tseba liphapang le mekhoa e belaetsang. Ha mohlahlobi a tsebahatsa subgraph e belaetsang, Grapl e hlahisa kaho ea Kopano e reretsoeng lipatlisiso. Engagement ke sehlopha sa Python se ka jaroang, mohlala, ho Jupyter Notebook e kentsoeng tikolohong ea AWS. Ho feta moo, Grapl e ka eketsa boholo ba pokello ea tlhahisoleseling bakeng sa lipatlisiso tsa liketsahalo ka ho atolosoa ha kerafo.
Haeba u batla ho utloisisa Grapl hamolemo, u ka sheba video e khahlisang - ho rekota ts'ebetso e tsoang ho BSides Las Vegas 2019.
4. OSSEC
ke morero o thehiloeng ka 2004. Morero ona, ka kakaretso, o ka hlalosoa e le sethala se bulehileng sa ts'ireletso ea ts'ireletso se etselitsoeng tlhahlobo ea moamoheli le ho lemoha ho kenella. OSSEC e jarolleloa makhetlo a fetang 500000 ka selemo. Sethala sena se sebelisoa haholo-holo e le mokhoa oa ho lemoha ho kenella ho li-server. Ho feta moo, re bua ka litsamaiso tsa lehae le tsa maru. OSSEC e boetse e sebelisoa hangata e le sesebelisoa sa ho lekola lintlha tsa ho lekola le ho hlahloba li-firewall, li-system tsa ho lemoha ho kenella, li-server tsa marang-rang, le ho ithuta lintlha tsa netefatso.
OSSEC e kopanya bokhoni ba Host-based Intrusion Detection System (HIDS) e nang le Tsamaiso ea Ts'ireletso ea Ts'ireletso (SIM) le Sistimi ea Ts'ireletso ea Ts'ireletso le Tsamaiso ea Ketsahalo (SIEM). OSSEC e ka boela ea hlokomela botšepehi ba faele ka nako ea sebele. Sena, ka mohlala, se lekola ngoliso ea Windows mme se bona li-rootkits. OSSEC e khona ho tsebisa bankakarolo ka mathata a fumanoeng ka nako ea nnete mme e thusa ho arabela kapele lits'oso tse fumanoeng. Sethala sena se tšehetsa Microsoft Windows le lits'ebetso tsa sejoale-joale tse kang Unix, ho kenyeletsoa Linux, FreeBSD, OpenBSD le Solaris.
Sethala sa OSSEC se na le setsi sa taolo se bohareng, molaoli, ea sebelisetsoang ho amohela le ho beha leihlo tlhahisoleseling ho tsoa ho baemeli (mananeo a manyane a kentsoeng lits'ebetsong tse hlokang ho beoa leihlo). Mookameli o kentsoe tsamaisong ea Linux, e bolokang database e sebelisetsoang ho hlahloba botšepehi ba lifaele. E boetse e boloka li-log le lirekoto tsa liketsahalo le liphetho tsa tlhahlobo ea sistimi.
Morero oa OSSEC hajoale o tšehetsoa ke Atomicorp. Khamphani e okametse mofuta oa mahala o bulehileng oa mohloli, 'me, ho feta moo, e fana tlhahiso ea khoebo ea sehlahisoa. podcast moo mookameli oa morero oa OSSEC a buang ka mofuta oa morao-rao oa sistimi - OSSEC 3.0. E boetse e bua ka histori ea morero, le hore na e fapane joang le mekhoa ea kajeno ea khoebo e sebelisoang tšimong ea ts'ireletso ea lik'homphieutha.
5. meerkat
ke morero oa mohloli o bulehileng o shebaneng le ho rarolla mathata a mantlha a ts'ireletso ea komporo. Haholo-holo, e kenyelletsa mokhoa oa ho lemoha ho kenella, mokhoa oa ho thibela ho kena, le sesebelisoa sa ho hlahloba ts'ireletso ea marang-rang.
Sehlahisoa sena se hlahile ka 2009. Mosebetsi oa hae o itšetlehile ka melao. Ke hore, ea e sebelisang o na le monyetla oa ho hlalosa likarolo tse itseng tsa sephethephethe sa marang-rang. Haeba molao o tsosoa, Suricata e hlahisa tsebiso, ho thibela kapa ho felisa khokahanyo e belaetsang, eo hape e itšetlehileng ka melao e boletsoeng. Morero o boetse o ts'ehetsa ts'ebetso ea likhoele tse ngata. Sena se etsa hore ho khonehe ho sebetsa ka potlako palo e kholo ea melao ka marang-rang a nang le sephethephethe se seholo. Ka lebaka la ts'ehetso ea mefuta e mengata, seva se tloaelehileng ka ho feletseng se khona ho hlahloba ka katleho sephethephethe se tsamaeang ka lebelo la 10 Gbit / s. Tabeng ena, ha ho hlokahale hore mookameli a behe moeli oa melao e sebelisoang bakeng sa tlhahlobo ea sephethephethe. Suricata e boetse e ts'ehetsa hashing le ho khutlisa lifaele.
Suricata e ka hlophisoa hore e sebetse ho li-server tse tloaelehileng kapa ka mechini e fumanehang, joalo ka AWS, e sebelisa karolo e sa tsoa hlahisoa sehlahisoa. .
Morero o ts'ehetsa mangolo a Lua, a ka sebelisoang ho theha mabaka a rarahaneng le a qaqileng bakeng sa ho sekaseka mesaeno ea litšokelo.
Morero oa Suricata o laoloa ke Open Information Security Foundation (OISF).
6. Zeek (Broe)
Joalo ka Suricata, (Projeke ena e kile ea bitsoa Bro mme ea rehoa lebitso la Zeek ho BroCon 2018) hape ke sistimi ea ho lemoha ha motho a kena-kenana le ts'ireletso ea marang-rang e ka lemohang liphoso tse kang ts'ebetso e belaetsang kapa e kotsi. Zeek e fapane le li-IDS tsa setso ka hore, ho fapana le litsamaiso tse thehiloeng melaong tse lemohang mekhelo, Zeek e boetse e nka metadata e amanang le se etsahalang marang-rang. Sena se etsoa e le ho utloisisa hantle moelelo oa boitšoaro bo sa tloaelehang ba marang-rang. Sena se lumella, ka mohlala, ka ho hlahloba mohala oa HTTP kapa mokhoa oa ho fapanyetsana litifikeiti tsa ts'ireletso, ho sheba protocol, lihloohong tsa lipakete, ho mabitso a marang-rang.
Haeba re nka Zeek e le sesebelisoa sa ts'ireletso ea marang-rang, joale re ka re e fa setsebi monyetla oa ho batlisisa ketsahalo ka ho ithuta ka se etsahetseng pele kapa nakong ea ketsahalo. Zeek e boetse e fetola data ea sephethephethe sa marang-rang hore e be liketsahalo tsa boemo bo holimo 'me e fana ka bokhoni ba ho sebetsa le mofetoleli oa script. Mofetoleli o tšehetsa puo ea lenaneo e sebelisetsoang ho sebelisana le liketsahalo le ho fumana hore na hantle-ntle liketsahalo tseo li bolela'ng mabapi le ts'ireletso ea marang-rang. Puo ea lenaneo la Zeek e ka sebelisoa ho iketsetsa kamoo metadata e hlalosoang ho lumellana le litlhoko tsa mokhatlo o itseng. E u lumella ho aha maemo a rarahaneng ka ho sebelisa lisebelisoa tsa AND, OR le NOT. Sena se fa basebelisi bokhoni ba ho iketsetsa kamoo tikoloho ea bona e hlahlojoang kateng. Leha ho le joalo, ho lokela ho hlokomeloa hore, ha e bapisoa le Suricata, Zeek e ka 'na ea bonahala e le sesebelisoa se rarahaneng ha se etsa ts'ebetso ea ts'ireletso ea ts'ireletso.
Haeba u thahasella lintlha tse ling ka Zeek, ka kopo ikopanye video.
7. Panther
ke sethala se matla, sa tlhaho sa maru bakeng sa tlhahlobo e tsoelang pele ea ts'ireletso. E sa tsoa fetisetsoa sehlopheng sa mohloli o bulehileng. Setsebi se ka sehloohong sa meralo ke tšimoloho ea morero - litharollo bakeng sa tlhahlobo ea li-log, eo khoutu ea eona e ileng ea buloa ke Airbnb. Panther e fa mosebelisi sistimi e le 'ngoe ea ho bona litšokelo libakeng tsohle le ho hlophisa karabelo ho tsona. Sistimi ena e khona ho hola hammoho le boholo ba lisebelisoa tsa motheo tse sebeletsoang. Ho lemoha litšokelo ho thehiloe holim'a melao e hlakileng, e ikemiselitseng ho fokotsa mekhoa ea bohata le mosebetsi o sa hlokahaleng bakeng sa litsebi tsa ts'ireletso.
Har'a likarolo tse ka sehloohong tsa Panther ke tse latelang:
- Ho fumanwa ha phihlello e sa dumellwang ho disebediswa ka ho hlahlobisisa marako.
- Ho lemoha litšokelo, ho kenngoa ts'ebetsong ka ho batla lits'oants'o tse bontšang mathata a tšireletso. Patlo e etsoa ho sebelisoa libaka tsa data tse tloaelehileng tsa Panter.
- Ho lekola sistimi ho latela maemo a SOC/PCI/HIPAA ho sebelisoa Mekhoa ea Panther.
- Sireletsa lisebelisoa tsa hau tsa leru ka ho lokisa liphoso tsa tlhophiso tse ka bakang mathata a tebileng haeba li sebelisoa ke bahlaseli.
Panther e sebelisoa lerung la AWS la mokhatlo le sebelisa AWS CloudFormation. Sena se lumella mosebelisi ho lula a laola data ea hae.
Liphello
Ho beha leihlo ts'ireletso ea sistimi ke mosebetsi oa bohlokoa matsatsing ana. Ha ho rarolloa bothata bona, lik'hamphani tsa boholo leha e le bofe li ka thusoa ke lisebelisoa tse bulehileng tse fanang ka menyetla e mengata 'me li sa lefelle letho kapa li lokolohile.
Babali ba ratehang! U sebelisa lisebelisoa life tsa tlhahlobo ea ts'ireletso?
Source: www.habr.com