如今企业安全团队面临的网络风险和运营挑战正在不断累积:更多的数据、更复杂的攻击和更大的攻击面和资产暴露面需要监控。然而,如果实施得当,人工智能技术,例如无人监督的机器学习,可以推动企业向下一代安全运营模式演进。调研数据显示,现代企业已经开始大量使用自动化工具来帮助保护关键信息系统和数据资产。以下收集整理了目前热门的开源版安全运营工具,可以帮助企业提高安全运营工作的自动化水平,满足企业对未来安全运营的多种需求。
01 Velociraptor
Velociraptor是一种较先进的数字取证和事件响应(DFIR)轻量级平台,它使小型安全运营(SecOps)团队能够调查工件、监测庞大数字生态系统中的异常端点活动、制定防御策略,并应对数据泄露等事件。
主要特点
应用部署
根据官方文档,部署Velociraptor的最常用方法是通过GitHub来部署。官方文件显示,Velociraptor的设置应包括三大阶段和一些中间步骤。
第一阶段:服务器部署。有三种部署方式:自签名SSL、云部署或Instant Velociraptor(具体可参阅GitHub页面)。
第二个阶段:客户端部署。常见的部署选项包括:交互式设置、自定义MSI、客户端即服务和无代理部署。
第三个阶段:用户授权。
传送门:https://docs.velociraptor.app/
02 2SecurityOnion
SecurityOnion是一款Linux环境下针对网络设备的安全监控、日志管理和威胁搜索的解决方案,能够采用多个第三方工具。该解决方案拥有较为强大的即插即用功能和高可扩展性。
主要特点
部署方式
SecurityOnion需要通过安装向导来部署应用,具体需要参阅该产品的GitHub页面以获得详细部署说明。
传送门:
https://securityonionsolutions.com/software/
03 Arkime
Arkime是一款面向威胁搜索的开源数据包捕获和搜索工具,拥有高可扩展性和强大的分析能力。
主要特点
部署方式
从官网获取适当的安装包,并按所附的说明文档安装操作。
传送门:https://arkime.com/
04 PRADAS
PRADS被动实时资产检测系统有时也被拼写为PRADAS,这是一种被动网络流量分析工具,能够快速识别各种网络应用服务和活动主机。
主要特点
部署方式
PRADS提供了详细的安装文档,帮助用户了解有关部署过程的详细信息。
传送门:
https://github.com/gamelinux/prads/
05 GRR
GRR是一款企业级远程实时取证工具,可帮助用户深入分析并了解各种网络攻击模式。这款开源解决方案还可以帮助用户执行快速的安全事件分类,也可以支持任意数量的端点。
应用特点
部署方式
GRR部署是分两个阶段:服务器安装和客户端安装:服务器可以从DEB、HEAD DEB、PIP包、源文件或从GRR Docker镜像来安装;而在客户端,可视情形使用MSI包或老式MSI。
传送门:
https://grr-doc.readthedocs.io/en/latest/#
06 Kansa
Kansa是一种模块化的PowerShell事件响应框架,与PSv2和PSv3兼容。该解决方案让用户可以从多个主机收集数据、调查数据泄露,并创建安全基准。
应用特点
部署方式
了解有关设置和部署过程的详细信息,可以参阅Kansa的GitHub文档。
传送门:
https://trustedsignal.blogspot.com/search/label/Kansa
07 pfSense
pfSense是一款基于Web的路由防火墙,拥有强大的数据包控制功能。该解决方案是流行的FreeBSD定制版本,可以通过硬件和云两种方法部署应用。
应用特点
部署方式
可使用Netgate Store的预加载包来安装和部署pfSense。
传送门:https://www.pfsense.org/
08 ZAProxy
OWASP的ZAProxy是一款优秀的开源漏洞扫描工具,拥有较强大的渗透测试功能。该产品应用于浏览器和Web应用程序之间(即充当中间设备),允许用户执行漏洞扫描、模拟Web攻击,并帮助查找源代码中可能被利用的安全漏洞。
应用特点
部署方式
可通过官方网站下载适当的安装包,还提供了Docker镜像安装模式
传送门:https://www.zaproxy.org/getting-started/
09 MozDef
MozDef是Mozilla推出的基于微服务的SIEM平台。该方案在设计时受到了黑帽攻击工具的启发,可以帮助用户自动化处理低级别的安全流程,并进行实时事件调查。
应用特点
部署方式
MozDef解决方案可以安装在Docker容器中,也可以直接从运行CentOS 7的计算设备来启动运行。
传送门:
https://mozdef.readthedocs.io/en/latest/overview.html
10 Sigma
Sigma是一种开放格式的签名工具,可使日志文件注释实现标准化和自动化。
应用特点
部署方式
可以参阅Sigma的GitHub文档,了解有关工具设置、部署和故障排除的详细信息。
传送门:https://github.com/SigmaHQ
参考链接:
https://heimdalsecurity.com/blog/soar-tools/
来源:安全牛