Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

採用開源軟體打造企業資安監測系統 [2022/10/06] @InfoSec Taiwan 2022

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Hier ansehen

1 von 69 Anzeige

採用開源軟體打造企業資安監測系統 [2022/10/06] @InfoSec Taiwan 2022

面對後疫情時代的 IT 預算緊縮,要如何從有限的資源中打造足夠應付日趨嚴峻的資安威脅陰影的武器?本議程將完全採用開源軟體在企業內打造近 EDR、SIEM 效果的資安監測系統,協助面臨經費拮据的團隊突破困境,不再是手無寸鐵的面對網路世界。

https://2022.infosec.org.tw/agenda_1006.html#spkr_1006_e_01

面對後疫情時代的 IT 預算緊縮,要如何從有限的資源中打造足夠應付日趨嚴峻的資安威脅陰影的武器?本議程將完全採用開源軟體在企業內打造近 EDR、SIEM 效果的資安監測系統,協助面臨經費拮据的團隊突破困境,不再是手無寸鐵的面對網路世界。

https://2022.infosec.org.tw/agenda_1006.html#spkr_1006_e_01

Anzeige
Anzeige

Weitere Verwandte Inhalte

Weitere von Jason Cheng (20)

Aktuellste (20)

Anzeige

採用開源軟體打造企業資安監測系統 [2022/10/06] @InfoSec Taiwan 2022

  1. 1. 採⽤開源軟體打造企業資安監測系統 節省⼯具箱有限公司 技術總監 / 鄭郁霖
  2. 2. 資安威脅越來 越多,該怎麼 應對?
  3. 3. EDR 產品可 以幫忙,但買 不起怎麼辦?
  4. 4. 開源軟體, 是另⼀扇⾨。
  5. 5. 放棄不做 0 60⇡ 開始實作 如何⾯對?
  6. 6. Wazuh
  7. 7. W a z u h
  8. 8. W a z u h 網⾴式管理介⾯ 系統設置檢查 檔案完整性監控 記錄回傳與分析 軟體漏洞檢測 合規報表產製 主要功能
  9. 9. W a z u h 資料來源 https://wazuh.com/platform/ 端點 伺服器 索引與看板 管理者
  10. 10. W a z u h Red Hat / CentOS … Debian / Ubuntu … Windows (XP~11/2022) macOS (Sierra~) Solaris (10~11) AIX HP-UX ⽀援作業系統
  11. 11. W a z u h 警告事件統計 認證失敗統計 端點事件排⾏ MTIRE ATT&CK 排⾏ 資安警報事件 資安事件看板
  12. 12. W a z u h 資安警報事件 端點名稱 MITRE ATT&CK ID ⼊侵戰術 事件說明 對應等級 規則 ID 資安事件看板
  13. 13. W a z u h 重要檔案異動 端點排⾏榜 規則分佈 發⽣動作 使⽤者排⾏榜 完整性看板
  14. 14. W a z u h 詳細事件 端點名稱 檢查路徑 發⽣動作 規則說明 完整性看板
  15. 15. W a z u h 檔案異動⽇期 使⽤者 / 群組 ⼤⼩ / 雜湊值 機碼異動⽇期 機碼值 / 類型 動作 / 雜湊值 歷史變動記錄 完整性看板
  16. 16. W a z u h 檔案異動⽇期 使⽤者 / 群組 ⼤⼩ / 雜湊值 機碼異動⽇期 機碼值 / 類型 動作 / 雜湊值 歷史變動記錄 完整性看板
  17. 17. W a z u h 連線狀況 端點名稱 端點 IP 作業系統 Agent 版本 最後連線時間 端點資料
  18. 18. W a z u h 網路介⾯ 網路連接埠 網路設定 系統更新 安裝軟體 處理程序 端點資產 Windows
  19. 19. W a z u h 網路介⾯ 網路連接埠 網路設定 系統更新 安裝軟體 處理程序 端點資產 Windows
  20. 20. W a z u h 網路介⾯ 網路連接埠 網路設定 安裝軟體 處理程序 端點資產 Linux
  21. 21. W a z u h 網路介⾯ 網路連接埠 網路設定 安裝軟體 處理程序 端點資產 Linux
  22. 22. W a z u h 網路介⾯ 網路連接埠 網路設定 安裝軟體 處理程序 端點資產 macOS
  23. 23. W a z u h 網路介⾯ 網路連接埠 網路設定 安裝軟體 處理程序 端點資產 macOS
  24. 24. W a z u h 嚴重性統計 軟體排⾏榜 軟體名稱 軟體版本 嚴重性 CVE 編號 CVSS 分數 檢出⽇期 軟體漏洞看板
  25. 25. W a z u h 軟體漏洞細節 CVE 編號 發⽣版本 掃描⽇期 更新⽇期 參考資料 軟體漏洞看板 此功能預設未開啟,需要⼿ 動啟⽤與⼀些前置作業。
  26. 26. W a z u h Elasticsearch Filebeat Kibana 詳細事件檢視 阿其實就是 Elastic Stack 套裝,有⽤過的⼈很快就上 ⼿啦!
  27. 27. W a z u h 惡意檔案比對 VirusTotal ⽐對雜湊值 此功能預設未開啟,並需填 入 VirusTotal API 權仗。
  28. 28. W a z u h MITRE ATT&CK Intelligence Framework Dashboard
  29. 29. W a z u h MITRE ATT&CK Intelligence Framework Dashboard
  30. 30. W a z u h MITRE ATT&CK Intelligence Framework Dashboard
  31. 31. W a z u h 合規看板 PCI DSS GDPR HIPAA NIST 800-53 TSC
  32. 32. W a z u h 合規看板 PCI DSS GDPR HIPAA NIST 800-53 TSC
  33. 33. W a z u h 產製報告 看板報告 資產報告 清單報告 其它
  34. 34. W a z u h 產製報告 看板報告 資產報告 清單報告 其它
  35. 35. W a z u h 伺服器安裝 (Script) https://documentation.wazuh.com/current/quickstart.html 伺服器安裝 (OVA) https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine.html 伺服器安裝 (Docker) https://documentation.wazuh.com/current/deployment-options/docker/index.html 客⼾端安裝 https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html 整合外部開源情資 (OSINT) https://wazuh.com/blog/using-osint-to-create-cdb-lists/ 參考資料
  36. 36. W a z u h 系統資產收集 https://documentation.wazuh.com/current/user-manual/capabilities/syscollector.html 軟體漏洞檢測 https://documentation.wazuh.com/current/user-manual/capabilities/vulnerability-detection/ 啟⽤郵件告警 https://documentation.wazuh.com/current/user-manual/manager/manual-email-report/index.html 啟⽤⾃動阻斷惡意網路⾏為 https://documentation.wazuh.com/current/user-manual/capabilities/active-response/ar-use-cases/blocking-attacks.html 啟⽤⾃動阻斷惡意軟體與檔案 https://documentation.wazuh.com/current/user-manual/capabilities/active-response/ar-use-cases/removing-malware.html 參考資料
  37. 37. Graylog
  38. 38. G r a y l o g
  39. 39. G r a y l o g 網⾴式管理介⾯ 集中收容記錄 欄位擷取處理 資料搜尋 統計、圖表 資訊看板 主要功能
  40. 40. G r a y l o g 資料來源 https://docs.graylog.org/docs 端點 伺服器 存放記錄與索引 管理者 存放記錄以外的所有設定 (input, stream, extractor, pipeline, rule, alert…)
  41. 41. G r a y l o g GELF Syslog NetFlow Raw Eventlog (NXLog) Log File (NXLog) DB Data (NXLog) ⽀援記錄收集
  42. 42. G r a y l o g AD/Windows 登⼊失敗 帳⼾鎖定 帳⼾解鎖 來源主機 ⽬標帳⼾ 特權帳⼾ 帳⼾事件
  43. 43. G r a y l o g AD/Windows 登⼊失敗 帳⼾鎖定 帳⼾解鎖 來源主機 ⽬標帳⼾ 特權帳⼾ 帳⼾事件
  44. 44. G r a y l o g OpenLDAP Samba 使⽤命令 連線來源 繫結帳⼾ 篩選對象 搜尋基礎 UCS 網域 UCS = Univention Corporate Server
  45. 45. G r a y l o g Windows 處理程序 ⽗處理程序 發⽣時間 使⽤者 訊息內容 執⾏記錄
  46. 46. G r a y l o g 整合 OTX 情資 ⾃動擷取記錄 ⾃動進⾏⽐對 來源 IP 說明 IP 原因 惡意 IP 來源
  47. 47. G r a y l o g 認證結果 存取來源 通訊協定 鎖定帳⼾ 存取記錄 系統命令 郵件安全
  48. 48. G r a y l o g 隔離郵件 垃圾郵件 惡意郵件 拒絕來源 寄信排⾏ 退信排⾏ 郵件服務
  49. 49. G r a y l o g 客⼾端 Http 狀態 來源位址 要求路徑 時間趨勢 網⾴服務
  50. 50. G r a y l o g 封包事件 連接來源 連接⽬的 動作分佈 ⽅向分佈 協定分佈 防火牆
  51. 51. G r a y l o g 備份失敗 複寫失敗 中⽌程序 OOM-Killer 節點事件 故障隔離 Fence 客體事件 ⾼可⽤ Failover 虛擬平台
  52. 52. G r a y l o g 來源位址 地理城市 軟體版本 平台分佈 認證結果 事件趨勢 VPN 服務
  53. 53. G r a y l o g 稽核記錄 使⽤模組 操作⾏為 帳⼾登⼊ 來源位址 檔案異動 檔案共⽤ 網路硬碟
  54. 54. G r a y l o g 警告事件轉送 統⼀警報管理 客製警報內容 擴充通知管道 可使⽤ LibreNMS 豐富的 通知能⼒,如 Telegram, Teams, Slack … 等 LibreNMS 整合
  55. 55. G r a y l o g 伺服器安裝 (Package) https://docs.graylog.org/v1/docs/operating-system-packages 伺服器安裝 (Docker) https://docs.graylog.org/docs/docker 收⼊記錄 (Input) https://docs.graylog.org/docs/sending-data 收⼊記錄 (Input,經由NXLog) https://docs.nxlog.co/userguide/integrate/graylog.html 資訊看板 https://docs.graylog.org/docs/dashboards 參考資料
  56. 56. LibreNMS
  57. 57. L i b r e N M S
  58. 58. L i b r e N M S 網⾴式管理介⾯ 裝置連線可⽤性 效能記錄分析 感測器健康數據 服務狀態監測 網路連線狀態圖 裝置組態備份 主要功能
  59. 59. L i b r e N M S 資料來源 https://docs.librenms.org/Extensions/Distributed-Poller/#using-memcached 端點 伺服器 管理者 輪詢器 資料庫
  60. 60. L i b r e N M S ICMP SNMP BMC (IPMI) Agent (Check_Mk) App. (SNMP Extend) Service (Nagios Plugin) Log (Syslog) Config (Oxidized) 裝置資料採集
  61. 61. L i b r e N M S ⾃動備份 版本管理 ⽐對差異 豐富⽀援 擴充開發 組態備份
  62. 62. L i b r e N M S 網⾴服務 收寄服務 系統服務 DNS 記錄 (MX, SPF, DKIM, DMRAC) 延遲佇列 RBL 檢測 Mail Gateway
  63. 63. L i b r e N M S 網⾴服務 郵件服務 (SMTP/IMAP/POP3) 系統服務 對外信箱 (狀態檢查、容量檢查) 檔案稽核 (CRONTAB、PASSWD) Mail Server
  64. 64. L i b r e N M S 網⾴服務 ES 狀態 ES 磁碟 ES 記憶體 JVM 執⾏緒 索引失敗 Log Server
  65. 65. L i b r e N M S 伺服器安裝 (Manual) https://docs.librenms.org/Installation/Install-LibreNMS/ 伺服器安裝 (Docker) https://github.com/librenms/docker 伺服器安裝 (VM) https://docs.librenms.org/Installation/Images/ 增加監測裝置 https://docs.librenms.org/Support/Adding-a-Device/ 參考資料
  66. 66. L i b r e N M S Application 監測 (SNMP Extent / Agent) https://docs.librenms.org/Extensions/Applications/ Agent 監測 (Check_Mk) https://docs.librenms.org/Extensions/Agent-Setup/ Service 監測 (Nagios Plugin) https://docs.librenms.org/Extensions/Services/ Syslog 收集 https://docs.librenms.org/Extensions/Syslog/ Config 收集 (Oxidized) https://docs.librenms.org/Extensions/Oxidized/ 參考資料
  67. 67. 其它資料
  68. 68. 節省⼯具箱公司 www.jason.tools 節省⼯具箱網誌 blog.jason.tools 連 結
  69. 69. 謝謝您。 節省⼯具箱有限公司 結 束 企業應⽤開源軟體⽅案導⼊專家

×