1. 软市首页
  2. 软件开发

2022几款开源的态势感知、攻击监控、日志分析等平台调研

软件开发

目录

  • 态势感知、攻击监控、日志分析等平台调研
    • 一. OSSIM开源安全信息管理系统
    • 功能展示
      • 主界面
      • 1. DASHBOARDS模块
        • a. OverView
        • b.Deployment status:资产部署的分类及状态信息
        • c. Risk Maps
        • d. Open Threat Exchang:在地图中显示OTX变化趋势及IP信誉
      • 2. ANALYSIS模块
      • 3. ENVIRONMENT模块
        • a. Assets & Groups
        • b. Vulnerabilities
        • c. Netf low
        • d. Traffic Capture:抓包分析
        • e. Availability
        • f. Detection
      • REPORTS模块
      • CONFIGURATION模块
    • 缺点
    • 二. Security Onion
      • 核心组件
      • 功能展示
        • 警告
        • 捕获
        • 流量分析
        • 仪表盘
        • 分析功能
      • 可使用的数据类型![在这里插入图片描述](https://img-blog.csdnimg.cn/7fa30e6fe76843b4bfe0431e1f1af426.png)
    • 三、WatchAD内 安全态势感知系统
      • 信息探测
      • 凭证盗取
      • 横向移动
      • 权限提升
      • 权限维持
      • 防御绕过
      • 项目架构图
    • 四、安全狗:免费使用https://www.safedog.cn/index/bigDataSolution.html
    • 五、SIEM安全大数据分析平台
    • Splunk Free
    • OSSEC+
    • Wazuh

态势感知、攻击监控、日志分析等平台调研

国内的平台未曾看到免费开源的,但有些可以试用的,例如啸天、百度等,本次调用结果主要为国外平台。

安全日志分析平台有很多,但集成监控功能的开源平台较少

一. OSSIM开源安全信息管理系统

官 :https://cybersecurity.att.com/products/ossim

OSSIM即安全信息管理系统,是目前非常流行、完整、成熟的安全架构体系。OSSIM通过将安全产品进行集成,提供一种安全监控功能的基础平台。OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合,它具有入侵检测,漏洞扫描,资产管理,安全监控,日志分析,流量分析等功能。

OSSIM是开源的SIM,其核心仍然是依靠SIEM,主要优点是通过有关事件、数据、风险等信息,实时了解全 威胁态势。是一个从 运维监控→事前预警→事后 警→SIEM日志分析故障 的一个快速解决问题的 络系统。

集成主要安全程序:

  • Snort:入侵检测系统
  • Rrdtool:系统监控
  • Nmap: 络扫描和嗅探工具包
  • Nessus:系统漏洞扫描于分析软件
  • Ntop: 络流量监控
  • Nagios:监控系统和 络应用
  • Pads:被动的 络发现工具
  • Tcptrack:TCP连接嗅探器
  • ArpWatch:监听ARP通信

主要模块介绍:

DASHBOARDS:仪表盘,将数据以可视化图表形式展示,更加直观,便于查看管理

ANALYSIS:事件分析,用于筛选查看收集到的数据

ENVIRONMENT:资产清单、漏洞扫描、Ntop流量分析、 络抓包分析、可用性监控等重要功能就在这里

REPORTS:统一 表,生成和查看各种 告的地方

CONFIGURATION:web系统匹置菜单,基础配置、部署管理、策略管理

1. DASHBOARDS模块

在 DASHBOARDS模块中,有 OVERVIEW(概览)、 DEPLOYMENT STATUS(部署状态)、 RISK MAPS(风险图)和 OPEN THREAT EXCHANGE(公开威胁交换)四个菜单。 DASHBOARDS模块从整体上显示 络状况,一旦 络出现安全问题,能及时做出响应。其中, OPEN THREAT EXCHANGE动能需要关联OTX账户之后才可以使用。

a. OverView

  • Executive:用饼图、柱状图显示TOP5 Alarm、Top10 Event、Logger Event、数据源等信息
  • Tickets:显示工单系统信息
  • Security:显示安全事件的Top5 Alarm和Event,以及显示最近安全趋势变化曲线
  • Taxonomy:在仪表盘上按类别统计受感染主机
  • Vulnerabilites:显示资产漏洞扫描信息
  • Compliance:显示资产合规 表信息

b.Deployment status:资产部署的分类及状态信息

c. Risk Maps

  • OverView:显示资产的风险地图

  • Manage Maps:地图模板管理

d. Open Threat Exchang:在地图中显示OTX变化趋势及IP信誉

  • 安全事件与日志曲线
  • 传感器收集事件
  • 事件类别

2. ANALYSIS模块

在 ANALYSIS模块中,有ALARMS(警 )、 SECURITY EVENTS(SIEM)(安全事件)、 RAW LOGS(原始日志)和 TICKETS(单据)四个菜单。ANALYSIS模块主要用于分析 络状况,识别 络风险和安全隐患。其中,使用 TICKETS菜单可以查看每台机器的状态。

3. ENVIRONMENT模块

在 ENVIRONMENT模块中,有 ASSETS& GROUPS(资产和组)、 VULNERABILITIES(漏洞)、 NETFLOW(流量)、 TRAFFIC CAPTURE(流量捕获)、 AVAILABILITY(可用)和 DETECTION(检测)六个菜单。

其中, ASSETS& GROUPS菜单可以监控机器列表; VULNERABILITIES菜单用于查看扫描漏洞; NETFLOW菜单用于查看 络状况,包含TCP、UTD、ICMP及其他 络资源; TRAFFIC CAPTURE菜单用于抓取数据包; AVAILABILITY菜单可以通过树型结构显示 络状况; DETECTION菜单包含入侵检测,并对入侵事件进行分类。

a. Assets & Groups

  • Assets:列出所有资产
  • Asset groups:将资产分组
  • Networks:管理监控
  • Network groups: 络分组
  • Schedule Scan:目标 络扫描计划

b. Vulnerabilities

  • Overview:漏洞扫描概况
  • Scan Jobs
    • New Scan Job:新建扫描任务
    • Import NBE File:导入NBE文件
  • Threat Database:漏洞库管理

c. Netf low

  • Details:显示NetFlow详细信息
  • OverView:显示概况
  • Graph:显示流图

d. Traffic Capture:抓包分析

e. Availability

  • Monitoring:高可用监控
  • Reporting:高可用监控 告

f. Detection

  • HIDS
  • OverView:显示HIDS日志变化趋势与Agent状态
  • Agents:Agent管理
  • Agentless:Agentless管理
  • Config:配置规则
  • HIDS Control:HIDS状态管理
  • Wireless IDS:无线IDS管理

REPORTS模块

REPORTS模块只有一个菜单 OVERVIEW,包含 表的生成和导出,也可以通过邮件发送HTML 告

CONFIGURATION模块

CONFIGURATION模块主要提供配置系统、添加系统管理员、修改密码、设置语言和查看OSSM服务器状态等功能。它有四个菜单: ADMINISTRATION(管理) DEPLOYMENT(部署)、 THREAT INTELCE(威胁智能)和 OPEN THREAT EXCHANGE(公开威胁交换)。

缺点

该款开源基本满足要求,但它不具备大规模日志采集和存储能力,而是一个SEM,更偏重于实时的安全监控,实时风险评估, 警与处理。并且根据官 资料,开源版本不提供日志管理功能,具体为什么日志管理功能,并未查到。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E3wSz8Y4-1661912151768)(C:UsersmokapengAppDataRoamingTyporatypora-user-imagesimage-20220827102236453.png)]

二. Security Onion

官 :https://securityonionsolutions.com/software/

Security Onion是一款专为入侵检测和NSM( 络安全监控)设计的Linux发行版。它集成了日志分析、流量分析、安全告警等内容。

核心组件

Security Onion里面的组件包括:snort(入侵检测引擎)、suricata(入侵检测引擎)、bro(入侵检测分析系统)、sguil(入侵检测分析系统)、squert(前端显示)、snorby(前端显示)、wireshark(抓包)、xplico(流量审计)。大致分类如下:

  • 完整数据包捕获;
  • 基于 络和主机的入侵检测系统(HIDS和NIDS);
  • 强大的分析工具

捕获

仪表盘

四、安全狗:免费使用https://www.safedog.cn/index/bigDataSolution.html

五、SIEM安全大数据分析平台

https://www.rizhiyi.com/securityevent-manage-platform/tm_source=BaiDuSIEM&bd_vid=11358440507496691264

不开源,但可申请试用

2022几款开源的态势感知、攻击监控、日志分析等平台调研

Splunk Free

限制:每天只能处理5000MB数据,每月只有7G的存储空间

OSSEC+

官 :https://www.ossec.net/,OSSEC是一个开源的入侵检测系统,它可以执行LOG分析,完整性检测
,windows注册表监控,rootkit检测,实时 警及动态响应。但该系统为主机检测平台,并没有流量分析、探测模块

Wazuh

主机入侵检测系统,不包含流量等功能

文章知识点与官方知识档案匹配,可进一步学习相关知识云原生入门技能树首页概览8665 人正在系统学习中

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2022年7月27日
下一篇 2022年7月27日

相关推荐

首页
软件超市
企服市场
会员中心