云计算的广泛采用有助于公司扩展业务。 但新平台的使用也意味着新威胁的出现。 在组织内维护自己的团队负责监控云服务的安全性并不是一件容易的事。 现有的监控工具昂贵且缓慢。 在某种程度上,当涉及到保护大规模云基础设施时,它们很难管理。 为了保持高水平的云安全性,公司需要超越以前可用的强大、灵活和直观的工具。 这就是开源技术非常有用的地方,有助于节省安全预算,并且由非常了解其业务的专家创建。
我们今天发布的这篇文章的翻译概述了 7 个用于监控云系统安全的开源工具。 这些工具旨在通过检测异常和不安全活动来防范黑客和网络犯罪分子。
1. 奥斯查询
Osquery 框架是由 Facebook 创建的。 2014 年,公司意识到不仅自己需要监控操作系统底层机制的工具,其代码也被开源。 从那时起,Osquery 已被 Dactiv、Google、Kolide、Trail of Bits、Uptycs 等公司的专家使用。 这是最近
Osquery 的主机监控守护进程(称为 osqueryd)允许您安排查询,从整个组织的基础设施中收集数据。 该守护进程收集查询结果并创建反映基础设施状态变化的日志。 这可以帮助安全专业人员及时了解系统的状态,对于识别异常情况特别有用。 Osquery 的日志聚合功能可用于帮助您查找已知和未知的恶意软件,以及识别攻击者进入您的系统的位置并查找他们安装了哪些程序。
2.审计
系统
GoAudit系统是用Golang编写的。 它是一种类型安全且高性能的语言。 在安装GoAudit之前,请检查您的Golang版本是否高于1.7。
3.格普尔
项目
Grapl 工具获取与安全相关的日志(Sysmon 日志或常规 JSON 格式的日志)并将其转换为子图(为每个节点定义“身份”)。 之后,它将子图组合成一个公共图(主图),该图表示在分析环境中执行的操作。 然后 Grapl 使用“攻击者签名”在结果图上运行分析器来识别异常和可疑模式。 当分析器识别出可疑子图时,Grapl 会生成一个用于调查的参与构造。 Engagement 是一个 Python 类,可以加载到部署在 AWS 环境中的 Jupyter Notebook 等中。 此外,Grapl还可以通过图扩展来增加事件调查的信息收集规模。
如果你想更好的理解Grapl,可以看看
4.OSSEC
OSSEC 将基于主机的入侵检测系统 (HIDS) 的功能与安全事件管理 (SIM) 以及安全信息和事件管理 (SIEM) 系统相结合。 OSSEC还可以实时监控文件完整性。 例如,它可以监视 Windows 注册表并检测 Rootkit。 OSSEC 能够实时通知利益相关者检测到的问题,并帮助快速响应检测到的威胁。 该平台支持 Microsoft Windows 和大多数现代类 Unix 系统,包括 Linux、FreeBSD、OpenBSD 和 Solaris。
OSSEC平台由一个中央控制实体——管理器组成,用于接收和监控来自代理(安装在需要监控的系统上的小程序)的信息。 该管理器安装在Linux系统上,该系统存储用于检查文件完整性的数据库。 它还存储事件日志和记录以及系统审核结果。
OSSEC 项目目前得到 Atomicorp 的支持。 该公司提供免费的开源版本,此外还提供
5.猫鼬
该产品于2009年出现。 他的工作是基于规则的。 也就是说,使用它的人有机会描述网络流量的某些特征。 如果规则被触发,Suricata 会生成通知,阻止或终止可疑连接,这同样取决于指定的规则。 该项目还支持多线程操作。 这使得在承载大量流量的网络中快速处理大量规则成为可能。 由于多线程支持,完全普通的服务器能够成功分析以 10 Gbit/s 的速度传输的流量。 在这种情况下,管理员不必限制用于流量分析的规则集。 Suricata 还支持散列和文件检索。
Suricata 可以使用产品中最近推出的功能配置为在常规服务器或虚拟机(例如 AWS)上运行
该项目支持Lua脚本,可用于创建复杂而详细的逻辑来分析威胁签名。
Suricata 项目由开放信息安全基金会 (OISF) 管理。
6. 泽克(兄弟)
像苏里卡塔一样,
如果我们将 Zeek 视为一种网络安全工具,那么我们可以说它为专家提供了通过了解事件之前或事件期间发生的情况来调查事件的机会。 Zeek 还将网络流量数据转换为高级事件,并提供与脚本解释器一起使用的能力。 解释器支持一种编程语言,用于与事件交互并找出这些事件在网络安全方面的确切含义。 Zeek 编程语言可用于自定义元数据的解释方式,以满足特定组织的需求。 它允许您使用 AND、OR 和 NOT 运算符构建复杂的逻辑条件。 这使用户能够自定义分析其环境的方式。 但需要注意的是,与Suricata相比,Zeek在进行安全威胁侦察时似乎是一个相当复杂的工具。
如果您对Zeek的更多详情感兴趣,请联系
7.黑豹
Panther 的主要特点如下:
- 通过分析日志来检测对资源的未经授权的访问。
- 威胁检测,通过搜索日志中指示安全问题的指标来实现。 搜索是使用 Panter 的标准化数据字段进行的。
- 使用以下命令检查系统是否符合 SOC/PCI/HIPAA 标准
嵌入式的 黑豹机制。 - 通过自动更正配置错误来保护您的云资源,这些错误如果被攻击者利用可能会导致严重问题。
Panther 使用 AWS CloudFormation 部署在组织的 AWS 云上。 这允许用户始终控制他的数据。
结果
如今,监控系统安全是一项关键任务。 在解决这个问题时,任何规模的公司都可以通过开源工具得到帮助,这些工具提供了大量的机会,而且几乎不需要任何成本或免费。
亲爱的读者! 您使用什么安全监控工具?
来源: habr.com