Get best of the week

7个值得了解的开源云安全监控工具

云计算的广泛采用正在帮助企业扩展业务。但是,使用新平台也意味着新威胁的出现。为组织内部的负责监视云服务安全性的团队提供支持并非易事。现有的道路监控工具运行缓慢。如果需要确保大规模云基础架构的安全性,则在一定程度上很难管理它们。为了在更高级别上维持其云安全性,公司需要功能强大,灵活且易于理解的工具,这些工具的能力超过了以前的能力。这是开源技术派上用场的地方,它有助于节省安全预算,并且由对他们的业务非常了解的专家创建。



这篇文章(我们今天将发布其翻译版本)概述了用于监视云系统安全性的7种开源工具。这些工具旨在通过检测异常和不安全的行为来防御黑客和网络犯罪分子。

1. Osquery


Osquery是用于操作系统的低级监视和分析的系统,它使安全专业人员可以使用SQL进行复杂的数据研究。 Osquery框架可以在Linux,macOS,Windows和FreeBSD上运行。它以高性能关系数据库的形式表示操作系统(OS)。这使安全专业人员可以通过执行SQL查询来探索操作系统。例如,使用查询,您可以找到有关正在运行的进程,已加载的内核模块,打开的网络连接,已安装的浏览器扩展,硬件事件以及文件的哈希值的信息。

Facebook创建的Osquery框架。公司意识到自己不仅需要工具来监视操作系统的低级机制后,其代码于2014年开放。从那时起,来自Dactiv,Google,Kolide,Trail of Bits,Uptycs等公司的专家一直在使用Osquery。最近宣布,Linux基金会和Facebook将组成Osquery支持基金会。

Osquery主机监视后台程序osqueryd允许您安排请求以收集整个组织基础结构中的数据。守护程序收集查询结果并创建反映基础结构状态变化的日志。这可以帮助安全专业人员及时了解系统状态,对于检测异常情况特别有用。Osquery汇总日志的功能可用于方便搜索已知和未知的恶意软件,以及识别入侵者侵入系统的位置并查找由他们安装的程序。这里是那里你可以找到关于使用Osquery检测异常的细节材料。

2. GoAudit


Linux审核 系统包含两个主要组件。第一种是旨在拦截和监视系统调用的内核级代码。第二个组件是一个名为auditd的用户空间守护程序。他负责将审核结果写入磁盘。Slack创建的GoAudit系统并于2016年发布,旨在取代经过审核的产品。通过将Linux审核系统生成的多行事件消息转换为单个JSON Blob,它具有改进的日志记录功能,从而简化了分析。借助GoAudit,您可以直接通过网络访问内核级机制。此外,您可以在主机本身上启用对事件的最小筛选(或完全禁用筛选)。同时,GoAudit是一个不仅为安全而设计的项目。该工具旨在作为多功能工具,供从事系统支持或开发的专业人员使用。它有助于解决大规模基础架构中的问题。

GoAudit用Golang编写。它是一种类型安全和高性能的语言。在安装GoAudit之前,请验证您的Golang版本是否高于1.7。

3.抓地力


去年3月Grapl项目(图形分析平台)已转移到开源类别。这是一个相对较新的平台,用于检测安全问题,进行法医学鉴定和生成事件报告。攻击者通常使用图模型之类的东西,从该系统开始控制特定系统并研究其他网络系统。因此,系统拥护者也自然会使用一种基于网络系统连接图模型的机制,该机制考虑了系统之间关系的特征。 Grapl演示了一种尝试采取措施以基于图形模型而非日志模型来识别和响应事件的尝试。

Grapl工具接受与安全性相关的日志(Sysmon日志或标准JSON格式的日志),并将其转换为子图(为每个节点定义“身份信息”)。之后,他将子图组合成一个公共图(主图),该图表示在分析环境中执行的操作。然后,Grapl使用“攻击者签名”在图形上运行分析器,以识别异常和可疑模式。当分析器检测到可疑子图时,Grapl会生成一个“参与”构造进行调查。参与度是一个Python类,可以下载到例如部署在AWS环境中的Jupyter Notebook中。此外,抓地力能够通过扩展图形来增加事件调查的信息收集。

如果你想更好地了解Grapl,你可以看这个从BSides拉斯维加斯2019年业绩的有趣视频录制。

4. OSSEC


OSSEC是一个成立于2004年的项目。通常,该项目可以描述为设计用于主机分析和入侵检测的开源安全监视平台。OSSEC每年被下载超过500,000次。该平台主要用作检测服务器入侵的手段。此外,我们正在谈论本地和云系统。另外,OSSEC通常用作研究日志的工具,以监视和分析防火墙,入侵检测系统,Web服务器以及研究认证日志。

OSSEC将基于主机的入侵检测系统(HIDS)的功能与安全事件管理(SIM)安全系统和SIEM(安全信息和事件管理)结合在一起。 OSSEC还具有实时监视文件完整性的功能。例如,这监视Windows注册表,检测rootkit。 OSSEC可以将检测到的问题实时通知感兴趣的各方,并有助于快速响应检测到的威胁。该平台支持Microsoft Windows和大多数现代的类似Unix的系统,包括Linux,FreeBSD,OpenBSD和Solaris。

OSSEC平台由一个中央管理实体,一个用于从代理接收和监视信息(需要监视的系统中安装的小程序)的管理器组成。该管理器安装在Linux系统上,该系统存储用于验证文件完整性的数据库。它还存储事件和系统审核结果的日志和记录。

Atomicorp当前支持OSSEC。该公司负责监督免费的开放源代码版本,此外,还提供该产品扩展商业版本。这里OSSEC项目经理讨论该系统的最新版本-OSSEC 3.0的播客。它还讨论了该项目的历史,以及它与计算机安全领域中使用的现代商业系统有何不同。

5.海岛猫鼬类


Suricata是一个开源项目,致力于解决确保计算机安全的主要任务。特别地,它包括入侵检测系统,入侵防御系统以及用于监视网络安全性的工具。

该产品出现在2009年。他的工作基于规则。也就是说,使用它的人有机会描述网络流量的某些功能。如果触发了该规则,则Suricata会生成一条通知,阻止或中断可疑连接,这又取决于指定的规则。此外,该项目还支持多线程操作。这使得可以快速处理大量流量通过的网络中的大量规则。得益于多线程支持,一个完全普通的服务器能够以10 Gb / s的速度成功分析流量。同时,管理员不必限制用于分析流量的规则集。 Suricata还支持哈希和文件提取。

可以使用产品中最近出现的流量监视功能,将Suricata配置为在常规服务器或虚拟机(例如AWS)上工作

该项目支持Lua脚本,您可以使用它们创建复杂而详细的逻辑来分析威胁特征。

Suricata项目由开放信息安全基金会(OISF)处理。

6. Zeek(Bro)


与Suricata一样,Zeek(以前称为Bro,并在BroCon 2018上更名为Zeek)也是一种入侵检测系统和网络安全监视工具,可以检测异常,例如可疑或危险的活动。 Zeek与传统IDS的不同之处在于,Zeek不同于检测异常的基于规则的系统,它还捕获与网络上发生的事情有关的元数据。这样做是为了更好地理解异常网络行为的上下文。例如,这允许分析HTTP调用或交换安全证书的过程,以在包头,域​​名处查看协议。

如果我们将Zeek视为网络安全工具,那么可以说,它使专家有机会调查事件,了解事件之前或期间发生的事情。此外,Zeek还将网络流量数据转换为高级事件,并使其可以与脚本解释器一起使用。解释器支持用于组织与事件的交互并找出这些事件在网络安全方面到底意味着什么的编程语言。 Zeek编程语言可用于根据特定组织的需要来自定义元数据的解释。它允许您使用运算符AND,OR和NOT建立复杂的逻辑条件。这使用户能够自定义其环境的分析。是的,应该注意与Suricata相比,Zeek在进行安全威胁侦查时似乎是一个相当复杂的工具。

如果您对Zeek的详细信息感兴趣,请观看视频。

7.黑豹


Panther是一个强大的,最初基于云的平台,用于持续的安全监控。她最近被转移到开源类别。该项目的架构师是StreamAlert的主要架构师,这是一种自动日志分析解决方案,其代码由Airbnb打开。 Panther为用户提供了一个系统,用于集中检测所有环境中的威胁并组织对威胁的响应。该系统能够随着所服务基础架构的大小而增长。威胁检测是使用透明的确定性规则组织的,这样做是为了减少误报的百分比并减少对安全专家的不必要负担。

Panther的主要功能包括:

  • 通过分析日志来检测对资源的未授权访问。
  • 搜索威胁,方法是在指示安全问题的指标日志中进行搜索。使用标准化的Panter数据字段执行搜索。
  • 使用Panther 内置机制检查系统是否符合SOC / PCI / HIPAA标准
  • 通过自动纠正配置错误来保护云资源,如果配置错误被利用,则会导致严重的问题。

Panther使用AWS CloudFormation部署在AWS组织云中。这使用户可以始终控制其数据。

摘要


如今,监视系统安全是最重要的任务。开源工具可以帮助各种规模的公司解决此问题,它们提供了很多机会,几乎毫无价值或免费。

亲爱的读者们!您使用哪些安全监视工具?

More articles:


All Articles