雲端運算的廣泛採用有助於公司擴展業務。 但新平台的使用也意味著新威脅的出現。 在組織內維護自己的團隊負責監控雲端服務的安全性並不是一件容易的事。 現有的監控工具昂貴且緩慢。 在某種程度上,當涉及到保護大規模雲端基礎設施時,它們很難管理。 為了保持高水準的雲端安全性,公司需要超越以前可用的強大、靈活和直覺的工具。 這就是開源技術非常有用的地方,有助於節省安全預算,並由非常了解其業務的專家創建。
我們今天發布的這篇文章的翻譯概述了 7 個用於監控雲端系統安全性的開源工具。 這些工具旨在透過檢測異常和不安全活動來防範駭客和網路犯罪分子。
1. 奧斯查詢
Osquery 框架是由 Facebook 創建的。 2014 年,公司意識到不僅自己需要監控作業系統底層機制的工具,其程式碼也被開源。 從那時起,Osquery 已被 Dactiv、Google、Kolide、Trail of Bits、Uptycs 等公司的專家使用。 這是最近
Osquery 的主機監控守護程式(稱為 osqueryd)可讓您安排查詢,從整個組織的基礎架構中收集資料。 此守護程序會收集查詢結果並建立反映基礎設施狀態變化的日誌。 這可以幫助安全專業人員隨時了解系統的狀態,對於識別異常情況特別有用。 Osquery 的日誌聚合功能可用於協助您找到已知和未知的惡意軟體,以及識別攻擊者進入您系統的位置並查找他們安裝了哪些程式。
2.審計
系統
GoAudit系統是用Golang寫的。 它是一種類型安全且高效能的語言。 在安裝GoAudit之前,請檢查您的Golang版本是否高於1.7。
3.格普爾
項目
Grapl 工具取得與安全性相關的日誌(Sysmon 日誌或常規 JSON 格式的日誌)並將其轉換為子圖(為每個節點定義「身分」)。 之後,它將子圖組合成一個公共圖(主圖),該圖表示在分析環境中執行的操作。 然後 Grapl 使用「攻擊者簽章」在結果圖上執行分析器來識別異常和可疑模式。 當分析器辨識出可疑子圖時,Grapl 會產生一個用於調查的參與構造。 Engagement 是一個 Python 類,可以載入到部署在 AWS 環境中的 Jupyter Notebook 等。 此外,Grapl還可以透過圖表擴展來增加事件調查的資訊收集規模。
如果你想更好的理解Grapl,可以看看
4.OSSEC
OSSEC 將基於主機的入侵偵測系統 (HIDS) 的功能與安全事件管理 (SIM) 以及安全資訊和事件管理 (SIEM) 系統結合。 OSSEC還可以即時監控文件完整性。 例如,它可以監視 Windows 登錄並偵測 Rootkit。 OSSEC 能夠即時通知利害關係人偵測到的問題,並協助快速回應偵測到的威脅。 該平台支援 Microsoft Windows 和大多數現代類 Unix 系統,包括 Linux、FreeBSD、OpenBSD 和 Solaris。
OSSEC平台由一個中央控制實體-管理器組成,用於接收和監控來自代理程式(安裝在需要監控的系統上的小程式)的資訊。 此管理器安裝在Linux系統上,該系統儲存用於檢查檔案完整性的資料庫。 它還儲存事件日誌和記錄以及系統審核結果。
OSSEC 專案目前得到 Atomicorp 的支持。 該公司提供免費的開源版本,此外還提供
5.貓鼬
該產品於2009年出現。 他的工作是基於規則的。 也就是說,使用它的人有機會描述網路流量的某些特徵。 如果規則被觸發,Suricata 會產生通知,阻止或終止可疑連接,這同樣取決於指定的規則。 該項目還支援多執行緒操作。 這使得在承載大量流量的網路中快速處理大量規則成為可能。 由於多線程支持,完全普通的伺服器能夠成功分析以 10 Gbit/s 的速度傳輸的流量。 在這種情況下,管理員不必限制用於流量分析的規則集。 Suricata 還支援雜湊和檔案檢索。
Suricata 可以使用產品中最近推出的功能配置為在常規伺服器或虛擬機器(例如 AWS)上運行
此專案支援Lua腳本,可用於建立複雜而詳細的邏輯來分析威脅簽章。
Suricata 計畫由開放式資訊安全基金會 (OISF) 管理。
6. 澤克(兄弟)
像蘇里卡塔一樣,
如果我們將 Zeek 視為網路安全工具,那麼我們可以說它為專家提供了透過了解事件之前或事件期間發生的情況來調查事件的機會。 Zeek 還將網路流量資料轉換為進階事件,並提供與腳本解釋器一起使用的能力。 解釋器支援一種程式語言,用於與事件互動並找出這些事件在網路安全方面的確切含義。 Zeek 程式語言可用於自訂元資料的解釋方式,以滿足特定組織的需求。 它允許您使用 AND、OR 和 NOT 運算符來建立複雜的邏輯條件。 這使用戶能夠自訂分析其環境的方式。 但要注意的是,與Suricata相比,Zeek在進行安全威脅偵察時似乎是個相當複雜的工具。
如果您對Zeek的更多詳情有興趣,請聯絡
7. 黑豹
Panther 的主要特點如下:
- 透過分析日誌來偵測對資源的未經授權的存取。
- 威脅偵測,透過搜尋日誌中指示安全問題的指標來實現。 搜尋是使用 Panter 的標準化資料欄位進行的。
- 使用以下命令檢查系統是否符合 SOC/PCI/HIPAA 標準
內建 黑豹機制。 - 透過自動修正設定錯誤來保護您的雲端資源,這些錯誤如果被攻擊者利用可能會導致嚴重問題。
Panther 使用 AWS CloudFormation 部署在組織的 AWS 雲端。 這允許用戶始終控制他的數據。
結果
如今,監控系統安全是一項關鍵任務。 在解決這個問題時,任何規模的公司都可以透過開源工具得到幫助,這些工具提供了大量的機會,幾乎不需要任何成本或免費。
親愛的讀者! 您使用什麼安全監控工具?
來源: www.habr.com