採用開源軟體打造企業資安監測系統 [2022/10/06] @InfoSec Taiwan 2022

1. 採⽤開源軟體打造企業資安監測系統節省⼯具箱有限公司技術總監 / 鄭郁霖

2. 資安威脅越來越多，該怎麼應對？

3. EDR 產品可以幫忙，但買不起怎麼辦？

4. 開源軟體，是另⼀扇⾨。

5. 放棄不做 0 60⇡ 開始實作如何⾯對？

6. Wazuh

7. W a z u h

8. W a z u h 網⾴式管理介⾯系統設置檢查檔案完整性監控記錄回傳與分析軟體漏洞檢測合規報表產製主要功能

9. W a z u h 資料來源 https://wazuh.com/platform/ 端點伺服器索引與看板管理者

10. W a z u h Red Hat / CentOS … Debian / Ubuntu … Windows (XP~11/2022) macOS (Sierra~) Solaris (10~11) AIX HP-UX ⽀援作業系統

11. W a z u h 警告事件統計認證失敗統計端點事件排⾏ MTIRE ATT&CK 排⾏資安警報事件資安事件看板

12. W a z u h 資安警報事件端點名稱 MITRE ATT&CK ID ⼊侵戰術事件說明對應等級規則 ID 資安事件看板

13. W a z u h 重要檔案異動端點排⾏榜規則分佈發⽣動作使⽤者排⾏榜完整性看板

14. W a z u h 詳細事件端點名稱檢查路徑發⽣動作規則說明完整性看板

15. W a z u h 檔案異動⽇期使⽤者 / 群組⼤⼩ / 雜湊值機碼異動⽇期機碼值 / 類型動作 / 雜湊值歷史變動記錄完整性看板

16. W a z u h 檔案異動⽇期使⽤者 / 群組⼤⼩ / 雜湊值機碼異動⽇期機碼值 / 類型動作 / 雜湊值歷史變動記錄完整性看板

17. W a z u h 連線狀況端點名稱端點 IP 作業系統 Agent 版本最後連線時間端點資料

18. W a z u h 網路介⾯網路連接埠網路設定系統更新安裝軟體處理程序端點資產 Windows

19. W a z u h 網路介⾯網路連接埠網路設定系統更新安裝軟體處理程序端點資產 Windows

20. W a z u h 網路介⾯網路連接埠網路設定安裝軟體處理程序端點資產 Linux

21. W a z u h 網路介⾯網路連接埠網路設定安裝軟體處理程序端點資產 Linux

22. W a z u h 網路介⾯網路連接埠網路設定安裝軟體處理程序端點資產 macOS

23. W a z u h 網路介⾯網路連接埠網路設定安裝軟體處理程序端點資產 macOS

24. W a z u h 嚴重性統計軟體排⾏榜軟體名稱軟體版本嚴重性 CVE 編號 CVSS 分數檢出⽇期軟體漏洞看板

25. W a z u h 軟體漏洞細節 CVE 編號發⽣版本掃描⽇期更新⽇期參考資料軟體漏洞看板此功能預設未開啟，需要⼿動啟⽤與⼀些前置作業。

26. W a z u h Elasticsearch Filebeat Kibana 詳細事件檢視阿其實就是 Elastic Stack 套裝，有⽤過的⼈很快就上⼿啦！

27. W a z u h 惡意檔案比對 VirusTotal ⽐對雜湊值此功能預設未開啟，並需填入 VirusTotal API 權仗。

28. W a z u h MITRE ATT&CK Intelligence Framework Dashboard

31. W a z u h 合規看板 PCI DSS GDPR HIPAA NIST 800-53 TSC

32. W a z u h 合規看板 PCI DSS GDPR HIPAA NIST 800-53 TSC

33. W a z u h 產製報告看板報告資產報告清單報告其它

34. W a z u h 產製報告看板報告資產報告清單報告其它

35. W a z u h 伺服器安裝 (Script) https://documentation.wazuh.com/current/quickstart.html 伺服器安裝 (OVA) https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine.html 伺服器安裝 (Docker) https://documentation.wazuh.com/current/deployment-options/docker/index.html 客⼾端安裝 https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html 整合外部開源情資 (OSINT) https://wazuh.com/blog/using-osint-to-create-cdb-lists/ 參考資料

36. W a z u h 系統資產收集 https://documentation.wazuh.com/current/user-manual/capabilities/syscollector.html 軟體漏洞檢測 https://documentation.wazuh.com/current/user-manual/capabilities/vulnerability-detection/ 啟⽤郵件告警 https://documentation.wazuh.com/current/user-manual/manager/manual-email-report/index.html 啟⽤⾃動阻斷惡意網路⾏為 https://documentation.wazuh.com/current/user-manual/capabilities/active-response/ar-use-cases/blocking-attacks.html 啟⽤⾃動阻斷惡意軟體與檔案 https://documentation.wazuh.com/current/user-manual/capabilities/active-response/ar-use-cases/removing-malware.html 參考資料

37. Graylog

38. G r a y l o g

39. G r a y l o g 網⾴式管理介⾯集中收容記錄欄位擷取處理資料搜尋統計、圖表資訊看板主要功能

40. G r a y l o g 資料來源 https://docs.graylog.org/docs 端點伺服器存放記錄與索引管理者存放記錄以外的所有設定 (input, stream, extractor, pipeline, rule, alert…)

41. G r a y l o g GELF Syslog NetFlow Raw Eventlog (NXLog) Log File (NXLog) DB Data (NXLog) ⽀援記錄收集

42. G r a y l o g AD/Windows 登⼊失敗帳⼾鎖定帳⼾解鎖來源主機⽬標帳⼾特權帳⼾帳⼾事件

43. G r a y l o g AD/Windows 登⼊失敗帳⼾鎖定帳⼾解鎖來源主機⽬標帳⼾特權帳⼾帳⼾事件

44. G r a y l o g OpenLDAP Samba 使⽤命令連線來源繫結帳⼾篩選對象搜尋基礎 UCS 網域 UCS = Univention Corporate Server

45. G r a y l o g Windows 處理程序⽗處理程序發⽣時間使⽤者訊息內容執⾏記錄

46. G r a y l o g 整合 OTX 情資⾃動擷取記錄⾃動進⾏⽐對來源 IP 說明 IP 原因惡意 IP 來源

47. G r a y l o g 認證結果存取來源通訊協定鎖定帳⼾存取記錄系統命令郵件安全

48. G r a y l o g 隔離郵件垃圾郵件惡意郵件拒絕來源寄信排⾏退信排⾏郵件服務

49. G r a y l o g 客⼾端 Http 狀態來源位址要求路徑時間趨勢網⾴服務

50. G r a y l o g 封包事件連接來源連接⽬的動作分佈⽅向分佈協定分佈防火牆

51. G r a y l o g 備份失敗複寫失敗中⽌程序 OOM-Killer 節點事件故障隔離 Fence 客體事件⾼可⽤ Failover 虛擬平台

52. G r a y l o g 來源位址地理城市軟體版本平台分佈認證結果事件趨勢 VPN 服務

53. G r a y l o g 稽核記錄使⽤模組操作⾏為帳⼾登⼊來源位址檔案異動檔案共⽤網路硬碟

54. G r a y l o g 警告事件轉送統⼀警報管理客製警報內容擴充通知管道可使⽤ LibreNMS 豐富的通知能⼒，如 Telegram, Teams, Slack … 等 LibreNMS 整合

55. G r a y l o g 伺服器安裝 (Package) https://docs.graylog.org/v1/docs/operating-system-packages 伺服器安裝 (Docker) https://docs.graylog.org/docs/docker 收⼊記錄 (Input) https://docs.graylog.org/docs/sending-data 收⼊記錄 (Input，經由NXLog) https://docs.nxlog.co/userguide/integrate/graylog.html 資訊看板 https://docs.graylog.org/docs/dashboards 參考資料

56. LibreNMS

57. L i b r e N M S

58. L i b r e N M S 網⾴式管理介⾯裝置連線可⽤性效能記錄分析感測器健康數據服務狀態監測網路連線狀態圖裝置組態備份主要功能

59. L i b r e N M S 資料來源 https://docs.librenms.org/Extensions/Distributed-Poller/#using-memcached 端點伺服器管理者輪詢器資料庫

60. L i b r e N M S ICMP SNMP BMC (IPMI) Agent (Check_Mk) App. (SNMP Extend) Service (Nagios Plugin) Log (Syslog) Config (Oxidized) 裝置資料採集

61. L i b r e N M S ⾃動備份版本管理⽐對差異豐富⽀援擴充開發組態備份

62. L i b r e N M S 網⾴服務收寄服務系統服務 DNS 記錄 (MX, SPF, DKIM, DMRAC) 延遲佇列 RBL 檢測 Mail Gateway

63. L i b r e N M S 網⾴服務郵件服務 (SMTP/IMAP/POP3) 系統服務對外信箱 (狀態檢查、容量檢查) 檔案稽核 (CRONTAB、PASSWD) Mail Server

64. L i b r e N M S 網⾴服務 ES 狀態 ES 磁碟 ES 記憶體 JVM 執⾏緒索引失敗 Log Server

65. L i b r e N M S 伺服器安裝 (Manual) https://docs.librenms.org/Installation/Install-LibreNMS/ 伺服器安裝 (Docker) https://github.com/librenms/docker 伺服器安裝 (VM) https://docs.librenms.org/Installation/Images/ 增加監測裝置 https://docs.librenms.org/Support/Adding-a-Device/ 參考資料

66. L i b r e N M S Application 監測 (SNMP Extent / Agent) https://docs.librenms.org/Extensions/Applications/ Agent 監測 (Check_Mk) https://docs.librenms.org/Extensions/Agent-Setup/ Service 監測 (Nagios Plugin) https://docs.librenms.org/Extensions/Services/ Syslog 收集 https://docs.librenms.org/Extensions/Syslog/ Config 收集 (Oxidized) https://docs.librenms.org/Extensions/Oxidized/ 參考資料

67. 其它資料

68. 節省⼯具箱公司 www.jason.tools 節省⼯具箱網誌 blog.jason.tools 連結

69. 謝謝您。節省⼯具箱有限公司結束企業應⽤開源軟體⽅案導⼊專家

採用開源軟體打造企業資安監測系統 [2022/10/06] @InfoSec Taiwan 2022

Du liest eine Vorschau.

Hier ansehen

採用開源軟體打造企業資安監測系統 [2022/10/06] @InfoSec Taiwan 2022

Weitere Verwandte Inhalte

Weitere von Jason Cheng (20)

Aktuellste (20)