用开源组件搭建一套SIEM/SOC/SOAR平台
2019年到21年,团队9个人齐力开发了一套内部的信息安全管理平台,包含了市场上常见的SIEM/SOC/SOAR的设计思想,也包含了类似于EDR(终端安全检测与响应)/SDL(安全开发生命周期管理)/SCA(开源组件分析)的部分功能,算是大而全的一套东西,功能上做的并不深入,但是因为深入贴合业务,所以也解决了实际的问题。
最近换了一家公司,也有类似的需求,由于人力原因,于是考虑使用开源的一些工具去构建。结合AWS云的现有生态,也参考了SELKS、SIMEONSTER、OSSIEM等优秀的开源SIEM工具。做了一个大致的组件分析。
计划使用如下的部分组件,通过轻代码连接的方式,构建一套开源的信息安全平台。 更多组件还在调研中。初步规划使用SELKS+其它开源组件完成整个SIEM的构建,灵活性和功能一步到位。看官们有更优秀的开源工具欢迎留言沟通交流
组件 |
功能 |
描述 |
logAgent |
日志采集插件 |
Winlogbeat windows日志采集 Filebeat (Windows, Linux & Mac) Logstash 日志采集 SysLog等等 |
kafka(已使用) |
消息队列 |
Kafka 消息队列(日志队列) |
Apache NIFI |
数据同步/日志泛化 |
Apache NIFI是一个易于使用,功能强大且可靠的数据拉去,数据处理和分发系统 NiFi 用于从 Kafka 消息队列中获取传入的事件日志数据。为不同的端点类型提供了各种模板, |
airflow |
数据同步/日志泛化 |
https://www.modb.pro/db/323279 和NIFI对比,暂未测试 |
ElasticSearch(使用opensearch替代) |
日志存储+检索 |
日志存储+检索 |
ElastAlert(已使用) |
规则匹配告警 |
ElastAlert 是由 Yelp 发起的项目,为 Elasticsearch 提供告警机制。ElastAlert 通过 REST API 查询 Elasticsearch 并有多个输出来匹配告警。 |
OpenSCAP(采用wazuh的自动化扫描插件) |
基线管理 |
https://www.open-scap.org/tools/openscap-base/OpenSCAP 免费开源的自动化扫描,基线核查,报告和自动修复工具。搭配基线库,可以完成PCI-DSS/GDPR等系统安全极限评估和监测要求 |
Wazuh(已使用) |
安全监控/入侵检测 agent支持win/mac/linux (需要全设备安装) 自带安全事件监测组件: Wazuh: PCI DSS Wazuh: OSSEC-开源入侵检测系统-HIDS Wazuh: GDPR Wazuh: Ruleset 检测规则 Wazuh: Dev Tools 与ES交互 |
Wazuh 是一个开源安全监控解决方案,用于收集、分析主机安全数据。Wazuh 是 OSSEC 项目的分支。Wazuh 组件与 Elasticsearch 和 Kibana 的整合度很高,可以用来执行许多与安全相关的任务,如日志分析、Rootkit 检测、监听端口检测、文件完整性检测等。他们可以检测隐藏的文件、隐藏的进程或者未注册的网络侦听器,以及系统调用响应的不一致性。除了代理能力之外,服务器组件还使用一种基于签名的入侵检测方法,使用其正则表达式引擎分析收集的日志数据并寻找妥协指标。Wazuh 代理提取软件库存数据并将这些信息发送到服务器,在服务器上与不断更新的 CVE (Common vulnerability and Exposure)数据库相关联,以识别众所周知的易受攻击软件。自动化漏洞评估可以帮助你找到关键资产中的弱点,并在攻击者利用它们破坏你的业务或窃取机密数据之前采取纠正措施。 https://documentation.wazuh.com/4.0/getting-started/ |
TheHive |
应急响应平台/安全事件响应平台(告警管理平台) |
TheHive 是一个可扩展的、开源、免费安全应急响应平台,旨在让任何安全从业人员能够轻松地处理安全事件,并快速地采取行动。本质上讲 TheHive 是一个告警管理平台,用于管理全部事件告警。 |
Cortex |
数据分析引擎 MISP搜索分析器 |
hive、Cortex和MISP可以很好地协同工作 Cortex 与 TheHive 是一个团队开发的产品。Cortex 使用分析器获取日志中有关指标信息的其他数据。允许在第三方服务中查询 IP、URL 与文件哈希等指标,并将第三方返回的结果作为附加信息丰富告警事件。 使用TheHive的python API插件TheHive4py,将结果发送到TheHive安全事件响应平台 Cortex4py 是 Cortex 的 Python API 客户端,TheHive可以钓用获取数据分析 |
Patrowl(已部署,暂未使用) |
Patrowl 安全编排工具 |
安全行动,如渗透测试,漏洞评估,代码检查,合规检查,网络威胁情报/狩猎和 SOC & DFIR 行动,包括:全栈安全概述(IP 到数据),定义威胁情报和漏洞评估扫描策略使用量身定制的引擎进行协调扫描,收集和汇总发现,检查补救的有效性。将资产风险价值与脆弱性相关联,使业务智能与 SIEM 更紧密地结合在一起。patrowl 与 Cortex 和 TheHive 集成。用于评估的资产可以使用资产导入功能单独添加或批量添加。 |
MISP MITRE Att&CK(已使用) |
开源威胁情报共享平台 威胁情报 |
MISP 是 CIRCL 维护的开源威胁情报共享平台,其 Feed 可以是某个组织提供的付费订阅,也可以是社区维护的开源订阅,这也是数据丰富的主要来源。 |
Suricata(已使用) |
IDS |
Suricata 是一个由开放信息安全基金会(OISF)开发的开源威胁检测引擎。Suricata 可以作为入侵检测系统(IDS)和入侵预防系统(IPS) ,也可以用于网络安全监控。它是与社区一起开发的,以帮助简化安全流程。作为一个免费且健壮的工具,Suricata 使用广泛的规则集和签名语言来监控网络流量。Suricata 还支持 Lua 脚本来监控更复杂的威胁。 可以和AWS结合 |
Scirus(已使用) |
Suricata 的可视化规则管理 |
是一个专门用于suricata规则集管理的web应用程序, 它采用Django开发。 |
Shuffle SOAR |
Shuffle SOAR 开源SOAR平台 |
简单的工作流自动化编辑器,用于大量安全工具的预制应用程序-,基于 OpenAPI 集成的应用开发者,用于自定义应用程序的 Python 库易于学习 |
OpenCTI |
开源威胁情报管理平台 威胁建模平台 |
允许组织管理他们的网络威胁情报知识和观察数据。创建 It 是为了构建、存储、组织和可视化关于网络威胁的技术和非技术信息。数据的结构是使用基于 stix2标准的知识模式执行的。它被设计成一个现代网络应用程序,包括 GraphQL API 和一个面向用户体验的前端。https://github.com/OpenCTI-Platform/opencti |
Prometheus+Grafana |
Prometheus+Grafana |
系统监控 |
Flink |
流计算/复杂计算 |
定制化实时分析处理程序 |
elastiflow(开始收费了) |
流量分析 |
替代科来网络分析设备,
|
全流量抓包工具Moloch |
用开源组件搭建一套SIEM/SOC/SOAR平台相关推荐
- 如何用开源组件“攒”出一个大数据建模平台?
写在前面:博主是一只经过实战开发历练后投身培训事业的"小山猪",昵称取自动画片<狮子王>中的"彭彭",总是以乐观.积极的心态对待周边的事物.本人的技 ...
- 虚拟机vcenter如何增加磁盘_如何在家搭建一套自己的实验平台(10)iSCSI 共享存储...
相信很多人希望有自己的实验环境,用来学习产品.验证设计.模拟故障等等,最近终于攒齐了所有硬件,搭起了 mini 数据中心. 本文共1600字,插图45张,读完需3分钟 在系列第一篇的时候我们画了一张图 ...
- vbox 中ubuntu20.04和宿主机共享文件_如何在家搭建一套自己的实验平台(10)iSCSI 共享存储...
相信很多人希望有自己的实验环境,用来学习产品.验证设计.模拟故障等等,最近终于攒齐了所有硬件,搭起了 mini 数据中心. 本文共1600字,插图45张,读完需3分钟 在系列第一篇的时候我们画了一张图 ...
- 10分钟搭建一套代码质量监控平台,开发从此不敢摸鱼
1.jenkins安装部署 01 Jenkins下载 中文官网地址:https://www.jenkins.io/zh/ 02 Jenkins环境安装 安装jdk 上传jenkins安装包 启动jen ...
- 完全开源的仓库管理系统,无需付费即可搭建一套商业级WMS
一.开源项目简介 ModernWMS 开源的简易完整的仓库管理系统 该库存管理系统是,我们从多年ERP系统研发中总结出来的一套针对小型物流仓储供应链流程. 在工作过程中我们很多的中小企业,由于IT预算 ...
- 如何应对开源组件⻛险?软件成分安全分析(SCA)能力的建设与演进
随着 DevSecOps 概念的推广,以及云原生安全概念的快速普及,研发安全和操作环境安全现在已经变成了近几年非常热的词汇.目前,在系统研发的过程中,开源组件引入的比例越来越高,所以在开源软件治理层面 ...
- Winform中使用EasyPlayer-RTSP-Win开源组件实现播放RTSP视频流
场景 开源RTMP组件EasyPusher-Android+EasyDarwin实现APP推流给RTSP流媒体服务器: 开源RTMP组件EasyPusher-Android+EasyDarwin实现A ...
- 搭建一套ASP.NET Core+Nacos+Spring Cloud Gateway项目
前言 伴随着随着微服务概念的不断盛行,与之对应的各种解决方案也层出不穷.这毕竟是一个信息大爆发的时代,各种编程语言大行其道,各有各的优势.但是有一点未曾改变,那就是他们服务的方式,工作的时候各司其职, ...
- Android 开源组件和第三方库汇总
出自(https://github.com/Tim9Liu9/TimLiu-Android) TimLiu-Android 自己总结的Android开源项目及库. 1. github排名 https: ...
最新文章
- js---25桥模式
- mybatisplus where语句里面的条件用括号括起来
- 用jsp实现登录界面
- Linux禁止ip拒绝访问80,Linux iptables 设置允许(禁止)IP范围
- java 文件目录_Java——文件及目录File操作
- vue中webpack默认配置_webpack中Entry与Output的基础配置
- http参数修改以及拦截
- 廖雪峰python教程-廖雪峰Python教程的配套视频教程,全套完整版!
- matlab安装后不能打开怎么办,matlab7.0安装后打不开_matlab7.0安装后不能用
- html 图片上面显示文字,Html 让文字显示在图片的上面
- ESP8266基于MicroPython的TCP socket回调函数实现案例
- 数十年军旅,钢铁意志成就他的技术颠峰
- 学习大数据开发要掌握哪些技术呢?
- google autoaugment
- 【Linux】《Linux命令行与shell脚本编程大全 (第4版) 》笔记-汇总 ( Chapter1-Chapter16 )
- 单纯形法表格法例题详解_最优化单纯形法例题讲解
- unity之VR模拟消防安全隐患排查综合方案(家庭/校园/商场/地铁/工厂/办公室)
- 企业架构之道(四)企业架构Zachman方法
- Flink 处理函数
- 一对一直播软件源码开发,直播相关技术详解