Chuyên trang chia sẻ kiến thức AI, Deeplearnig, MachineLearning, An ninh an toàn thông tin

Thứ Năm, 24 tháng 12, 2020

KHẢO SÁT VỀ MẶT CÔNG NGHỆ CỦA HỆ THỐNG SOC MÃ NGUỒN MỞ



1. Mỗi hệ thống SOC hiệu quả cần có các thành phần chính:

- Hệ thống SIEM: Quản lý sự kiện và thông tin bảo mật

- Hệ thống IDS/IPS/IDPS: Hệ thống quản lý và theo dõi, hệ thống phát hiện và ngăn chặn xâm nhập

- Nền tảng phát hiện và cảnh báo các nguy hiểm tới hệ thống CTI

- Công cụ thu thập và phân tích các gói tin

2. Một số nền tảng mã nguồn mở cho từng thành phần trên:

a. Hệ thống SIEM

- Apache Metron: Là công cụ mã nguồn mở viết trên nền tảng JSON, chức năng giám sát tập chung và phân tích bảo mật.

Tìm hiểu thêm tại : https://github.com/apache/metron

- AlienVault OSSIM: AlienVault OSSIM cũng cho phép theo dõi và ghi nhật ký các ứng dụng.

Tìm hiểu thêm tại: https://cybersecurity.att.com/products/ossim

- MozDef: Tìm hiểu thêm tại: https://github.com/mozilla/MozDef

- OSSEC: về kỹ thuật OSSEC là một hệ thống phát hiện xâm nhập mã nguồn mở chứ không phải là một giải pháp SIEM. Tuy nhiên nó có tính năng thu thập nhật ký và xử lý các nhật ký thu được

Tìm hiểu thêm tại: https://www.ossec.net/ossec-downloads/

- Wazuh: được phát triển từ OSSEC.

Tìm hiểu thêm tại: https://wazuh.com/

- Prelude OSS: Làm việc với nhiều định dạng Log và các tài nguyên khác. Chuẩn hóa dữ liệu sự kiện thành một ngôn ngữ chung, có thể hộ trợ các giải pháp khác

Tìm hiể thêm tại: https://www.prelude-siem.org/projects/prelude/files

- Hệ thống SNORT

- ELK Stack: Biên dịch được nhật ký từ hầu hết các nguồn dữ liệu bằng việc sử dụng công cụ Logstash. Có thể hiện thị được một phần dữ liệu

Tìm hiểu thêm tại: https://www.elastic.co/fr/what-is/elk-stack

- SIEMonster:

b. IDS/IPS/IDPS

- Suricata: là một IDPS có khả năng kiẻm soát hệ thống mạng hiệu xuất cao

Tìm hiểu thêm tại: https://suricata-ids.org/

- OSSEC:

- Security Onion: Hệ thống phát hiện xâm nhập mã nguồn mở

Tìm hiểu thêm tại: https://securityonionsolutions.com/

- Bro Network Security Monitor: Được sử dụng với quy mô lớn, phân tích lưu lượng tổng quát, phát hiện sự cố, phát hiện mối đe dọa.

TÌm hiểu thêm tại: https://zeek.org/

c. Công cụ ứng phó sự cố

- GRR Rapid Response: Được phát triển bởi google, gồm hải thành phần client triển khai trên mạng giám sát và server hỗ trợ phân tích

Tìm hiểu thêm tại: https://github.com/google/grr

- Cyphon: Nắm bắt các tài nguyển, xử lý, phân loại các sự cố cho quản trị viên, hệ thống thu thập dữ liệu, nhật ký gói tin, có API gửi email

Tìm hiể thêm tại: https://www.cyphon.io/

- The Hive Project: Hiện thị và điều tra nhiều sự cố cùng một lúc

Tìm hiểu thêm tại: https://thehive-project.org/

- SIFT (Sans Investigative Forensics Toolkit) Workstation: Công cụ điều tra số trên nền Ubuntu

Tìm hiểu thêm tại: https://digital-forensics.sans.org/community/downloads

d. Threat intelligence tools - Công cụ tình báo các mối đe dọa

- MISP: Nền tảng chia sẻ thông tin phần mềm độc hại

Tìm hiểu thêm tại: https://www.misp-project.org/

- TIH (Threat-Intelligence-Hunter):

Tìm hiểu thêm tại: https://github.com/abhinavbom/Threat-Intelligence-Hunter

- QTek/QRadio:

Tìm hiểu thêm tại: https://github.com/QTek/QRadio

- Machinae Security Intelligence Collector:

Tìm hiểu thêm tại: https://machinae.hurricanelabs.com/

- Tìm hiểu thêm tại: https://socradar.io/community-edition/

Nguyễn Trọng Hưng

 

1 nhận xét:

  1. admin có phải anh Hưng khoa tin HV Xê nửa nghìn không ạ..:)))

    Trả lờiXóa