採用開源軟體打造企業資安監測系統 [2022/10/06] @InfoSec Taiwan 2022

採⽤開源軟體打造企業資安監測系統
節省⼯具箱有限公司
技術總監 / 鄭郁霖

資安威脅越來
越多，該怎麼
應對？

EDR 產品可
以幫忙，但買
不起怎麼辦？

開源軟體，
是另⼀扇⾨。

放棄不做
0 60⇡
開始實作
如何⾯對？

W
a
z
u
h
網⾴式管理介⾯
系統設置檢查
檔案完整性監控
記錄回傳與分析
軟體漏洞檢測
合規報表產製
主要功能

W
a
z
u
h
資料來源 https://wazuh.com/platform/
端點伺服器索引與看板管理者

W
a
z
u
h
Red Hat / CentOS
…
Debian / Ubuntu
…
Windows (XP~11/2022)
macOS (Sierra~)
Solaris (10~11)
AIX
HP-UX
⽀援作業系統

W
a
z
u
h
警告事件統計
認證失敗統計
端點事件排⾏
MTIRE ATT&CK 排⾏
資安警報事件
資安事件看板

W
a
z
u
h
資安警報事件
端點名稱
MITRE ATT&CK ID
⼊侵戰術
事件說明
對應等級
規則 ID
資安事件看板

W
a
z
u
h
重要檔案異動
端點排⾏榜
規則分佈
發⽣動作
使⽤者排⾏榜
完整性看板

W
a
z
u
h
詳細事件
端點名稱
檢查路徑
發⽣動作
規則說明
完整性看板

W
a
z
u
h
檔案異動⽇期
使⽤者 / 群組
⼤⼩ / 雜湊值
機碼異動⽇期
機碼值 / 類型
動作 / 雜湊值
歷史變動記錄
完整性看板

W
a
z
u
h
連線狀況
端點名稱
端點 IP
作業系統
Agent 版本
最後連線時間
端點資料

W
a
z
u
h
網路介⾯
網路連接埠
網路設定
系統更新
安裝軟體
處理程序
端點資產
Windows

W
a
z
u
h
網路介⾯
網路連接埠
網路設定
安裝軟體
處理程序
端點資產
Linux

W
a
z
u
h
網路介⾯
網路連接埠
網路設定
安裝軟體
處理程序
端點資產
macOS

W
a
z
u
h
嚴重性統計
軟體排⾏榜
軟體名稱
軟體版本
嚴重性
CVE 編號
CVSS 分數
檢出⽇期
軟體漏洞看板

W
a
z
u
h
軟體漏洞細節
CVE 編號
發⽣版本
掃描⽇期
更新⽇期
參考資料
軟體漏洞看板
此功能預設未開啟，需要⼿
動啟⽤與⼀些前置作業。

W
a
z
u
h
Elasticsearch
Filebeat
Kibana
詳細事件檢視
阿其實就是 Elastic Stack
套裝，有⽤過的⼈很快就上
⼿啦！

W
a
z
u
h
惡意檔案比對
VirusTotal
⽐對雜湊值
此功能預設未開啟，並需填
入 VirusTotal API 權仗。

W
a
z
u
h
MITRE ATT&CK
Intelligence
Framework
Dashboard

W
a
z
u
h
合規看板
PCI DSS
GDPR
HIPAA
NIST 800-53
TSC

W
a
z
u
h
產製報告
看板報告
資產報告
清單報告
其它

W
a
z
u
h
伺服器安裝 (Script)
https://documentation.wazuh.com/current/quickstart.html
伺服器安裝 (OVA)
https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine.html
伺服器安裝 (Docker)
https://documentation.wazuh.com/current/deployment-options/docker/index.html
客⼾端安裝
https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html
整合外部開源情資 (OSINT)
https://wazuh.com/blog/using-osint-to-create-cdb-lists/
參考資料

W
a
z
u
h
系統資產收集
https://documentation.wazuh.com/current/user-manual/capabilities/syscollector.html
軟體漏洞檢測
https://documentation.wazuh.com/current/user-manual/capabilities/vulnerability-detection/
啟⽤郵件告警
https://documentation.wazuh.com/current/user-manual/manager/manual-email-report/index.html
啟⽤⾃動阻斷惡意網路⾏為
https://documentation.wazuh.com/current/user-manual/capabilities/active-response/ar-use-cases/blocking-attacks.html
啟⽤⾃動阻斷惡意軟體與檔案
https://documentation.wazuh.com/current/user-manual/capabilities/active-response/ar-use-cases/removing-malware.html
參考資料

G
r
a
y
l
o
g
集中收容記錄
欄位擷取處理
資料搜尋
統計、圖表
資訊看板
主要功能

G
r
a
y
l
o
g
資料來源 https://docs.graylog.org/docs
端點
伺服器
存放記錄與索引
管理者
存放記錄以外的所有設定
(input, stream, extractor, pipeline, rule, alert…)

G
r
a
y
l
o
g
GELF
Syslog
NetFlow
Raw
Eventlog (NXLog)
Log File (NXLog)
DB Data (NXLog)
⽀援記錄收集

G
r
a
y
l
o
g
AD/Windows
登⼊失敗
帳⼾鎖定
帳⼾解鎖
來源主機
⽬標帳⼾
特權帳⼾
帳⼾事件

G
r
a
y
l
o
g
OpenLDAP
Samba
使⽤命令
連線來源
繫結帳⼾
篩選對象
搜尋基礎
UCS 網域
UCS = Univention Corporate Server

G
r
a
y
l
o
g
Windows
處理程序
⽗處理程序
發⽣時間
使⽤者
訊息內容
執⾏記錄

G
r
a
y
l
o
g
整合 OTX 情資
⾃動擷取記錄
⾃動進⾏⽐對
來源 IP
說明 IP 原因
惡意 IP 來源

G
r
a
y
l
o
g
認證結果
存取來源
通訊協定
鎖定帳⼾
存取記錄
系統命令
郵件安全

G
r
a
y
l
o
g
隔離郵件
垃圾郵件
惡意郵件
拒絕來源
寄信排⾏
退信排⾏
郵件服務

G
r
a
y
l
o
g
客⼾端
Http 狀態
來源位址
要求路徑
時間趨勢
網⾴服務

G
r
a
y
l
o
g
封包事件
連接來源
連接⽬的
動作分佈
⽅向分佈
協定分佈
防火牆

G
r
a
y
l
o
g
備份失敗
複寫失敗
中⽌程序
OOM-Killer
節點事件
故障隔離 Fence
客體事件
⾼可⽤ Failover
虛擬平台

G
r
a
y
l
o
g
來源位址
地理城市
軟體版本
平台分佈
認證結果
事件趨勢
VPN 服務

G
r
a
y
l
o
g
稽核記錄
使⽤模組
操作⾏為
帳⼾登⼊
來源位址
檔案異動
檔案共⽤
網路硬碟

G
r
a
y
l
o
g
警告事件轉送
統⼀警報管理
客製警報內容
擴充通知管道
可使⽤ LibreNMS 豐富的
通知能⼒，如 Telegram,
Teams, Slack
…
等
LibreNMS 整合

G
r
a
y
l
o
g
伺服器安裝 (Package)
https://docs.graylog.org/v1/docs/operating-system-packages
https://docs.graylog.org/docs/docker
收⼊記錄 (Input)
https://docs.graylog.org/docs/sending-data
收⼊記錄 (Input，經由NXLog)
https://docs.nxlog.co/userguide/integrate/graylog.html
資訊看板
https://docs.graylog.org/docs/dashboards
參考資料

L
i
b
r
e
N
M
S
裝置連線可⽤性
效能記錄分析
感測器健康數據
服務狀態監測
網路連線狀態圖
裝置組態備份
主要功能

L
i
b
r
e
N
M
S
資料來源 https://docs.librenms.org/Extensions/Distributed-Poller/#using-memcached
端點
伺服器
管理者
輪詢器
資料庫

L
i
b
r
e
N
M
S
ICMP
SNMP
BMC (IPMI)
Agent (Check_Mk)
App. (SNMP Extend)
Service (Nagios Plugin)
Log (Syslog)
Config (Oxidized)
裝置資料採集

L
i
b
r
e
N
M
S
⾃動備份
版本管理
⽐對差異
豐富⽀援
擴充開發
組態備份

L
i
b
r
e
N
M
S
網⾴服務
收寄服務
系統服務
DNS 記錄
(MX, SPF, DKIM, DMRAC)
延遲佇列
RBL 檢測
Mail Gateway

L
i
b
r
e
N
M
S
網⾴服務
郵件服務
(SMTP/IMAP/POP3)
系統服務
對外信箱
(狀態檢查、容量檢查)
檔案稽核
(CRONTAB、PASSWD)
Mail Server

L
i
b
r
e
N
M
S
網⾴服務
ES 狀態
ES 磁碟
ES 記憶體
JVM 執⾏緒
索引失敗
Log Server

L
i
b
r
e
N
M
S
伺服器安裝 (Manual)
https://docs.librenms.org/Installation/Install-LibreNMS/
https://github.com/librenms/docker
伺服器安裝 (VM)
https://docs.librenms.org/Installation/Images/
增加監測裝置
https://docs.librenms.org/Support/Adding-a-Device/
參考資料

L
i
b
r
e
N
M
S
Application 監測 (SNMP Extent / Agent)
https://docs.librenms.org/Extensions/Applications/
Agent 監測 (Check_Mk)
https://docs.librenms.org/Extensions/Agent-Setup/
Service 監測 (Nagios Plugin)
https://docs.librenms.org/Extensions/Services/
Syslog 收集
https://docs.librenms.org/Extensions/Syslog/
Config 收集 (Oxidized)
https://docs.librenms.org/Extensions/Oxidized/
參考資料

節省⼯具箱公司
www.jason.tools
節省⼯具箱網誌
blog.jason.tools
連
結

謝謝您。
節省⼯具箱有限公司
結
束
企業應⽤開源軟體⽅案導⼊專家

採用開源軟體打造企業資安監測系統 [2022/10/06] @InfoSec Taiwan 2022

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie 採用開源軟體打造企業資安監測系統 [2022/10/06] @InfoSec Taiwan 2022

Ähnlich wie 採用開源軟體打造企業資安監測系統 [2022/10/06] @InfoSec Taiwan 2022 (20)

Mehr von Jason Cheng

Mehr von Jason Cheng (13)

採用開源軟體打造企業資安監測系統 [2022/10/06] @InfoSec Taiwan 2022