如今企业安全团队面临的网络风险和运营挑战正在不断累积:更多的数据、更复杂的攻击和更大的攻击面和资产暴露面需要监控。然而,如果实施得当,人工智能技术,例如无人监督的机器学习,可以推动企业向下一代安全运营模式演进。调研数据显示,现代企业已经开始大量使用自动化工具来帮助保护关键信息系统和数据资产。以下收集整理了目前热门的开源版安全运营工具,可以帮助企业提高安全运营工作的自动化水平,满足企业对未来安全运营的多种需求。
1、Velociraptor
Velociraptor是一种较先进的数字取证和事件响应(DFIR)轻量级平台,它使小型安全运营(SecOps)团队能够调查工件、监测庞大数字生态系统中的异常端点活动、制定防御策略,并应对数据泄露等事件。
主要特点
- 可以通过VQL(Velociraptor查询语言)定制工具;
- 能够在端点或服务器上创建和定制监控规则;
- 调查发生在企业环境外的数据泄露;
- 能够调查研究各种设备和数据流;
- 重构恶意活动。
应用部署
根据官方文档,部署Velociraptor的最常用方法是通过GitHub来部署。官方文件显示,Velociraptor的设置应包括三大阶段和一些中间步骤。
第一阶段:服务器部署。有三种部署方式:自签名SSL、云部署或Instant Velociraptor(具体可参阅GitHub页面)。
第二个阶段:客户端部署。常见的部署选项包括:交互式设置、自定义MSI、客户端即服务和无代理部署。
第三个阶段:用户授权。
传送门:https://docs.velociraptor.app/
2、2SecurityOnion
SecurityOnion是一款Linux环境下针对网络设备的安全监控、日志管理和威胁搜索的解决方案,能够采用多个第三方工具。该解决方案拥有较为强大的即插即用功能和高可扩展性。
主要特点
- 由开源社区提供支持和维护;
- 支持多种类型的数据:代理、警报、资产、提取内容、会话和事务信息等;
- 与众多第三方工具无缝集成,包括:Kibana、Logstash、Suricata、Stenographer、Wazuh、 CyberChef和Elasticsearch等;
- 高可扩展性。一套Securityonion方案最多可以支持1000个节点;
- 丰富的原生Web界面;
- 可以与Azure和亚马逊AWS集成。
部署方式
SecurityOnion需要通过安装向导来部署应用,具体需要参阅该产品的GitHub页面以获得详细部署说明。
传送门:
https://securityonionsolutions.com/software/
3、Arkime
Arkime是一款面向威胁搜索的开源数据包捕获和搜索工具,拥有高可扩展性和强大的分析能力。
主要特点
- 形式丰富的系统连接图;
- 可以创建自定义的SPI(会话概要信息)页面;
- 基于Web的平台化应用;
- 具有面向JSON和PCAP数据的API接口。
部署方式
从官网获取适当的安装包,并按所附的说明文档安装操作。
传送门:https://arkime.com/
4、PRADAS
PRADS被动实时资产检测系统有时也被拼写为PRADAS,这是一种被动网络流量分析工具,能够快速识别各种网络应用服务和活动主机。
主要特点
- 可以便捷地与专有或第三方IDS/IPS方案集成;
- 可以按需转储信息;
- 高级脚本。
部署方式
PRADS提供了详细的安装文档,帮助用户了解有关部署过程的详细信息。
传送门:
https://github.com/gamelinux/prads/
5、GRR
GRR是一款企业级远程实时取证工具,可帮助用户深入分析并了解各种网络攻击模式。这款开源解决方案还可以帮助用户执行快速的安全事件分类,也可以支持任意数量的端点。
应用特点
- 能够进行详细的端点数据分析(比如CPU使用情况、内存和I/O分配等);
- 可以通过SleuthKit分析原始文件系统访问;
- 支持多平台,与Windows、Linux和Mac OSX等主流系统兼容;
- 自动化调度自定义任务;
- 面向充分利用JSON的AngularJS Web UI和API;
- 支持Go、Python、PowerShell和服务器端库。
部署方式
GRR部署是分两个阶段:服务器安装和客户端安装:服务器可以从DEB、HEAD DEB、PIP包、源文件或从GRR Docker镜像来安装;而在客户端,可视情形使用MSI包或老式MSI。
传送门:
https://grr-doc.readthedocs.io/en/latest/#
6、Kansa
Kansa是一种模块化的PowerShell事件响应框架,与PSv2和PSv3兼容。该解决方案让用户可以从多个主机收集数据、调查数据泄露,并创建安全基准。
应用特点
- 不同模块均能够作为独立的实用程序来运行;
- 是高级脚本程序;
- 可以轻量级部署应用。
部署方式
了解有关设置和部署过程的详细信息,可以参阅Kansa的GitHub文档。
传送门:
https://trustedsignal.blogspot.com/search/label/Kansa
7、pfSense
pfSense是一款基于Web的路由防火墙,拥有强大的数据包控制功能。该解决方案是流行的FreeBSD定制版本,可以通过硬件和云两种方法部署应用。
应用特点
- 较完善的防火墙和路由功能;
- 能够与Azure、AWS等公有云无缝集成。
部署方式
可使用Netgate Store的预加载包来安装和部署pfSense。
传送门:https://www.pfsense.org/
8、ZAProxy
OWASP的ZAProxy是一款优秀的开源漏洞扫描工具,拥有较强大的渗透测试功能。该产品应用于浏览器和Web应用程序之间(即充当中间设备),允许用户执行漏洞扫描、模拟Web攻击,并帮助查找源代码中可能被利用的安全漏洞。
应用特点
- 基于Web的界面部署应用;
- 较全面的漏洞和渗透测试功能;
- ZAProxy与Linux、MacOS和Windows等主流系统环境兼容。
部署方式
可通过官方网站下载适当的安装包,还提供了Docker镜像安装模式
传送门:https://www.zaproxy.org/getting-started/
9、MozDef
MozDef是Mozilla推出的基于微服务的SIEM平台。该方案在设计时受到了黑帽攻击工具的启发,可以帮助用户自动化处理低级别的安全流程,并进行实时事件调查。
应用特点
- 能够与Elastisearch等工具协同运行;
- 具有多个自动化层(比如云保护和防火墙等);
- 可以进行实时协作;
- 由较丰富的安全事件度量指标。
部署方式
MozDef解决方案可以安装在Docker容器中,也可以直接从运行CentOS 7的计算设备来启动运行。
传送门:https://mozdef.readthedocs.io/en/latest/overview.html
10、Sigma
Sigma是一种开放格式的签名工具,可使日志文件注释实现标准化和自动化。
应用特点
- 帮助安全团队加强跨部门的协作;
- 具有功能强大的注释转换器;
- 可以与YARA和IOC协同运行。
部署方式
可以参阅Sigma的GitHub文档,了解有关工具设置、部署和故障排除的详细信息。
传送门:https://github.com/SigmaHQ
参考链接:https://heimdalsecurity.com/blog/soar-tools/