当今企业安全团队面临的网络风险和操作挑战正在累积:更多的数据、更复杂的攻击、更大的攻击面和需要监控的资产暴露。但是,如果实施得当,人工智能技术(例如无监督机器学习)可以推动组织走向下一代安全运营模式。调查数据显示,现代企业已经开始广泛使用自动化工具来帮助保护关键信息系统和数据资产。以下是目前流行的开源安全运维工具合集,可以帮助企业提升安全运维的自动化水平,满足企业未来安全运维的多种需求。1.VelociraptorVelociraptor是一个更先进的数字取证和事件响应(DFIR)轻量级平台,它使小型安全操作(SecOps)团队能够调查工件、监控大型数字生态系统中的异常端点活动并制定防御策略。并对数据泄露等事件做出响应。主要功能可以通过VQL(VelociraptorQueryLanguage)进行定制;可以在端点或服务器上创建和自定义监控规则;调查发生在企业环境之外的数据泄露;可以调查各种设备和数据流;重建恶意活动。应用部署根据官方文档,部署Velociraptor最常见的方式是通过GitHub。根据官方文档,Velociraptor的设置应该包括三个主要阶段和一些中间步骤。阶段1:服务器部署。共有三种部署方法:自签名SSL、云部署或InstantVelociraptor(有关详细信息,请参阅GitHub页面)。第二阶段:客户端部署。常见的部署选项包括:交互式设置、自定义MSI、客户端即服务和无代理部署。第三阶段:用户授权。传送门:https://docs.velociraptor.app/2、2SecurityOnionSecurityOnion是Linux环境下网络设备的安全监控、日志管理和威胁搜索解决方案,可以使用多种第三方工具。该方案具有比较强大的即插即用功能和较高的可扩展性。主要功能由开源社区支持和维护;支持多种类型的数据:代理、警报、资产、提取内容、会话和交易信息等;与许多第三方工具无缝集成,包括:Kibana、Logstash、Suricata、Stenographer、Wazuh、Cyber??Chef和Elasticsearch等;高可扩展性。一个Securityonion解决方案最多可以支持1000个节点;丰富的原生网页界面;可以与Azure和亚马逊AWS集成。部署方式SecurityOnion需要通过安装向导来部署应用。详情请参考产品的GitHub页面获取详细的部署说明。传送门:https://securityonionsolutions.com/software/3、ArkimeArkime是一款开源的威胁狩猎抓包和搜索工具,具有高扩展性和强大的分析能力。主要特点丰富的系统连接图;可以创建自定义SPI(会话摘要信息)页面;基于网络的平台应用程序;JSON和PCAP数据的API接口。部署方式从官网获取相应的安装包,按照附件说明进行安装。传送门:https://arkime.com/4.PRADASPRADSPassiveReal-TimeAssetDetectionSystem,有时拼写为PRADAS,是一种被动网络流量分析工具,可以快速识别各种网络应用服务和活跃主机。主要特性轻松与专有或第三方IDS/IPS解决方案集成;按需转储信息;高级脚本。部署方式PRADS提供了详细的安装文档,帮助用户详细了解部署过程。传送门:https://github.com/gamelinux/prads/5。GRRGRR是一款企业级远程实时取证工具,可以帮助用户深入分析和理解各种网络攻击模式。这个开源解决方案还可以帮助用户执行安全事件的快速分类,并且可以支持任意数量的端点。应用特性能够进行详细的端点数据分析(如CPU使用率、内存和I/O分配等);可以通过SleuthKit分析原始文件系统访问;支持多平台,兼容Windows、Linux、MacOSX等主流系统;自动化调度自定义任务;针对利用JSON的AngularJSWebUI和API;支持Go、Python、PowerShell和服务器端库。部署方式GRR部署分为服务端安装和客户端安装两个阶段:服务端可以从DEB、HEADDEB、PIP包、源文件或GRRDocker镜像安装;在客户端,MSI包或老式MSI。传送门:https://img.ydisp.cn/news/20230207/djomgghmhnbdata-id="h6f20189-rkwomY1q"id="h6f20189-rkwomY1q">6.KansaKansa是一个模块化的PowerShell事件响应框架,兼容PSv2和PSv3。该解决方案允许用户从多个主机收集数据、调查数据泄露并创建安全基线。应用特点不同的模块可以作为独立的实用程序运行;它们是高级脚本程序;应用程序可以以轻量级的方式部署。如何部署在Kansa的GitHub文档中了解有关设置和部署过程的更多信息。传送门:https://trustedsignal.blogspot.com/search/label/Kansa7,pfSensepfSense是一款基于web的路由防火墙,具有强大的包控制功能。该解决方案是流行的FreeBSD的自定义版本,可以通过硬件和云方法部署应用程序。该应用具有比较完善的防火墙和路由功能;它可以与Azure和AWS等公共云无缝集成。部署方式您可以使用NetgateStore预加载包来安装和部署pfSense。传送门:https://img.ydisp.cn/news/20230207/pw0rg43ksuodata-id="h6f20189-0taYcXCe"id="h6f20189-0taYcXCe">8.ZAProxyOWASP的ZAProxy是一款优秀的开源漏洞扫描工具。具备强大的渗透测试能力。该产品工作在浏览器和Web应用程序之间(即充当中间设备),允许用户执行漏洞扫描、模拟Web攻击,并帮助查找源代码中可能被利用的安全漏洞。应用程序功能基于Web的界面来部署应用程序;更全面的漏洞和渗透测试功能;ZAProxy兼容Linux、MacOS、Windows等主流系统环境。部署方法可以在官网下载,同时也提供了相应的安装包。还提供了Docker镜像安装方式入口:https://www.zaproxy.org/getting-started/9。MozDefMozDef是Mozilla推出的基于微服务的SIEM平台。受黑帽攻击工具的启发,该解决方案可以帮助用户自动化低级安全流程并进行实时事件调查。应用程序功能可以与Elastisearch等工具配合使用;具有多个自动化层(如云保护和防火墙等);可以进行实时协作;并具有更丰富的安全事件指标。部署方式MozDef解决方案可以安装在Docker容器中,也可以直接从运行CentOS7的计算设备启动。传送门:https://mozdef.readthedocs.io/en/latest/overview.html10.SigmaSigma是一个开放格式的签名工具标准化和自动化日志文件评论。应用特性帮助安全团队加强跨部门协作;它有一个强大的注释转换器;它可以与YARA和IOC一起使用。部署方法可以参考Sigma的GitHub文档,了解工具设置、部署和故障排除的详细信息。传送门:https://github.com/SigmaHQ参考链接:https://heimdalsecurity.com/blog/soar-tools/
