当前位置:   article > 正文

2022几款开源的态势感知、攻击监控、日志分析等平台调研_开源态势感知

开源态势感知

态势感知、攻击监控、日志分析等平台调研

国内的平台未曾看到免费开源的,但有些可以试用的,例如啸天、百度等,本次调用结果主要为国外平台。

安全日志分析平台有很多,但集成监控功能的开源平台较少

一. OSSIM开源安全信息管理系统

官网:https://cybersecurity.att.com/products/ossim

OSSIM即安全信息管理系统,是目前非常流行、完整、成熟的安全架构体系。OSSIM通过将安全产品进行集成,提供一种安全监控功能的基础平台。OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合,它具有入侵检测,漏洞扫描,资产管理,安全监控,日志分析,流量分析等功能。

OSSIM是开源的SIM,其核心仍然是依靠SIEM,主要优点是通过有关事件、数据、风险等信息,实时了解全网威胁态势。是一个从 运维监控→事前预警→事后报警→SIEM日志分析故障 的一个快速解决问题的网络系统。

集成主要安全程序:

  • Snort:入侵检测系统
  • Rrdtool:系统监控
  • Nmap:网络扫描和嗅探工具包
  • Nessus:系统漏洞扫描于分析软件
  • Ntop:网络流量监控
  • Nagios:监控系统和网络应用
  • Pads:被动的网络发现工具
  • Tcptrack:TCP连接嗅探器
  • ArpWatch:监听ARP通信

img

功能展示

主界面

img

主要模块介绍:

DASHBOARDS:仪表盘,将数据以可视化图表形式展示,更加直观,便于查看管理

ANALYSIS:事件分析,用于筛选查看收集到的数据

ENVIRONMENT:资产清单、漏洞扫描、Ntop流量分析、网络抓包分析、可用性监控等重要功能就在这里

REPORTS:统一报表,生成和查看各种报告的地方

CONFIGURATION:web系统匹置菜单,基础配置、部署管理、策略管理

1. DASHBOARDS模块

在 DASHBOARDS模块中,有 OVERVIEW(概览)、 DEPLOYMENT STATUS(部署状态)、 RISK MAPS(风险图)和 OPEN THREAT EXCHANGE(公开威胁交换)四个菜单。 DASHBOARDS模块从整体上显示网络状况,一旦网络出现安全问题,能及时做出响应。其中, OPEN THREAT EXCHANGE动能需要关联OTX账户之后才可以使用。

a. OverView
  • Executive:用饼图、柱状图显示TOP5 Alarm、Top10 Event、Logger Event、数据源等信息
  • Tickets:显示工单系统信息
  • Security:显示安全事件的Top5 Alarm和Event,以及显示最近安全趋势变化曲线
  • Taxonomy:在仪表盘上按类别统计受感染主机
  • Vulnerabilites:显示资产漏洞扫描信息
  • Compliance:显示资产合规报表信息
b.Deployment status:资产部署的分类及状态信息
c. Risk Maps
  • OverView:显示资产的风险地图

  • Manage Maps:地图模板管理

d. Open Threat Exchang:在地图中显示OTX变化趋势及IP信誉
  • 安全事件与日志曲线
  • 传感器收集事件
  • 事件类别

2. ANALYSIS模块

在 ANALYSIS模块中,有ALARMS(警报)、 SECURITY EVENTS(SIEM)(安全事件)、 RAW LOGS(原始日志)和 TICKETS(单据)四个菜单。ANALYSIS模块主要用于分析网络状况,识别网络风险和安全隐患。其中,使用 TICKETS菜单可以查看每台机器的状态。

3. ENVIRONMENT模块

在 ENVIRONMENT模块中,有 ASSETS& GROUPS(资产和组)、 VULNERABILITIES(漏洞)、 NETFLOW(流量)、 TRAFFIC CAPTURE(流量捕获)、 AVAILABILITY(可用)和 DETECTION(检测)六个菜单。

其中, ASSETS& GROUPS菜单可以监控机器列表; VULNERABILITIES菜单用于查看扫描漏洞; NETFLOW菜单用于查看网络状况,包含TCP、UTD、ICMP及其他网络资源; TRAFFIC CAPTURE菜单用于抓取数据包; AVAILABILITY菜单可以通过树型结构显示网络状况; DETECTION菜单包含入侵检测,并对入侵事件进行分类。

a. Assets & Groups
  • Assets:列出所有资产
  • Asset groups:将资产分组
  • Networks:管理监控
  • Network groups:网络分组
  • Schedule Scan:目标网络扫描计划
b. Vulnerabilities
  • Overview:漏洞扫描概况
  • Scan Jobs
    • New Scan Job:新建扫描任务
    • Import NBE File:导入NBE文件
  • Threat Database:漏洞库管理
c. Netf low
  • Details:显示NetFlow详细信息
  • OverView:显示概况
  • Graph:显示流图
d. Traffic Capture:抓包分析
e. Availability
  • Monitoring:高可用监控
  • Reporting:高可用监控报告
f. Detection
  • HIDS
  • OverView:显示HIDS日志变化趋势与Agent状态
  • Agents:Agent管理
  • Agentless:Agentless管理
  • Edit Rules:编辑规则
  • Config:配置规则
  • HIDS Control:HIDS状态管理
  • Wireless IDS:无线IDS管理

REPORTS模块

REPORTS模块只有一个菜单 OVERVIEW,包含报表的生成和导出,也可以通过邮件发送HTML报告

CONFIGURATION模块

CONFIGURATION模块主要提供配置系统、添加系统管理员、修改密码、设置语言和查看OSSM服务器状态等功能。它有四个菜单: ADMINISTRATION(管理) DEPLOYMENT(部署)、 THREAT INTELCE(威胁智能)和 OPEN THREAT EXCHANGE(公开威胁交换)。

缺点

该款开源基本满足要求,但它不具备大规模日志采集和存储能力,而是一个SEM,更偏重于实时的安全监控,实时风险评估,报警与处理。并且根据官网资料,开源版本不提供日志管理功能,具体为什么日志管理功能,并未查到。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E3wSz8Y4-1661912151768)(C:\Users\mokapeng\AppData\Roaming\Typora\typora-user-images\image-20220827102236453.png)]

二. Security Onion

官网:https://securityonionsolutions.com/software/

Security Onion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。它集成了日志分析、流量分析、安全告警等内容。

核心组件

Security Onion里面的组件包括:snort(入侵检测引擎)、suricata(入侵检测引擎)、bro(入侵检测分析系统)、sguil(入侵检测分析系统)、squert(前端显示)、snorby(前端显示)、wireshark(抓包)、xplico(流量审计)。大致分类如下:

  • 完整数据包捕获;
  • 基于网络和主机的入侵检测系统(HIDS和NIDS);
  • 强大的分析工具

preview

功能展示

警告

img

捕获

img

流量分析

img

仪表盘

img

分析功能

img

可使用的数据类型在这里插入图片描述

三、WatchAD内网安全态势感知系统

360自己开源,免费给企业使用的开源项目https://github.com/Qianlitp/WatchAD/blob/master/README_zh-cn.md

属于内网态势感知项目,目前支持的具体检测功能如下:

信息探测

  1. 使用SAMR查询敏感用户组
  2. 使用SAMR查询敏感用户
  3. 蜜罐账户的活动
  4. PsLoggedOn信息收集

凭证盗取

  1. Kerberoasting (流量)
  2. AS-REP Roasting
  3. 远程Dump域控密码

横向移动

  1. 账户爆破
  2. 显式凭据远程登录
  3. 目标域控的远程代码执行
  4. 未知文件共享名
  5. Kerberos票据加密方式降级(流量)
  6. 异常的Kerberos票据请求(流量)

权限提升

  1. ACL修改
  2. MS17-010攻击检测
  3. 新增组策略监控
  4. NTLM 中继检测
  5. 基于资源的约束委派权限授予检测
  6. 攻击打印机服务 SpoolSample
  7. 未知权限提升
  8. MS14-068攻击检测(流量)
  9. Kerberos约束委派滥用(流量)

权限维持

  1. AdminSDHolder对象修改
  2. DCShadow攻击检测
  3. DSRM密码重置
  4. 组策略委派权限授予检测
  5. Kerberos约束委派权限授予检测
  6. 敏感用户组修改
  7. 域控新增系统服务
  8. 域控新增计划任务
  9. SIDHistory属性修改
  10. 万能钥匙-主动检测
  11. 万能钥匙-被动检测(流量)
  12. 黄金票据(流量)

防御绕过

  1. 事件日志清空
  2. 事件日志服务被关闭

项目架构图

img

四、安全狗:免费使用https://www.safedog.cn/index/bigDataSolution.html


架构:

五、SIEM安全大数据分析平台

https://www.rizhiyi.com/securityevent-manage-platform/?utm_source=BaiDuSIEM&bd_vid=11358440507496691264

不开源,但可申请试用
在这里插入图片描述

Splunk Free

限制:每天只能处理5000MB数据,每月只有7G的存储空间

OSSEC+

官网:https://www.ossec.net/,OSSEC是一个开源的入侵检测系统,它可以执行LOG分析,完整性检测
,windows注册表监控,rootkit检测,实时报警及动态响应。但该系统为主机检测平台,并没有流量分析、探测模块

Wazuh

主机入侵检测系统,不包含流量等功能

本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
  

闽ICP备14008679号