Tehditleri tespit etme söz konusu olduğunda, güvenlik ekipleri her yerden veri çekebilecek ve analiz edilmesini kolaylaştırabilecek araçlara ihtiyaç duyar. Bu makalede, günlük yönetiminden ağ ve ev sahibi izlemeye ve hatta olay tepkisine kadar her şeye yardımcı olan bazı popüler açık kaynaklı araçlara bir göz atacağız. Bu araçlar ekiplere tehditleri erken yakalamak ve hızlı davranmak için ihtiyaç duydukları görünürlük kazandırır.
Korteks
Cortex, SOCS, CSIRT’lerin ve güvenlik araştırmacılarının gözlemlenebilirleri tek bir arayüzden ölçekte analiz etmesine yardımcı olmak için TheHive Project tarafından geliştirilmiştir. Bir web arayüzü veya REST API ile IP adreslerinin, URL’lerin, etki alanı adlarının, dosya karmalarının ve daha fazlasını ayrı ayrı veya toplu olarak analiz eder.
Korteks, yerleşik analizörlerle merkezi bir platform sağlayarak birden fazla aracı manuel olarak entegre etme ihtiyacını ortadan kaldırır. Ek analizörler geliştirilebilir ve ekipler veya daha geniş topluluk arasında paylaşılabilir, araştırmaları düzene sokabilir ve işbirliğini geliştirebilir.
Fluentd
Fluentd, veri toplama ve dağıtımını birleştiren, verilerin işlenmesini ve anlamasını kolaylaştıran bir veri toplayıcısıdır.
Fluentd, birleşik bir günlük katmanı sağlayarak arka uç sistemlerinden veri kaynaklarını ayırır. Bu, performansı veya karar almayı etkileyen kötü veri riskini azaltırken, çeşitli günlük türlerine gerçek zamanlı erişim sağlar. Günlük koleksiyonunu standartlaştırarak Fluentd, kuruluşların gelişimi hızlandırmasına yardımcı olur.
Güvenlik Soğan
Güvenlik Soğan, ağ görünürlüğü, ana bilgisayar görünürlüğü, saldırı algılama Honeypots, günlük yönetimi ve vaka yönetimi sağlar.
Ağ görünürlüğü için, Zeek veya Suricata, stenograf veya Suricata ile paket yakalama ve dosya analizi kullanarak Suricata, protokol meta verileri ve dosya çıkarma ile imza tabanlı algılamayı destekler. Ev sahibi görünürlüğü, veri toplamayı, osquery ile canlı sorguları ve elastik filo aracılığıyla merkezi yönetim sağlayan elastik ajan aracılığıyla ele alınır. Kurumsal görünürlüğü artırmak için OpenCanary tabanlı saldırı algılama Honeypots da eklenebilir.
Toplanan tüm günlükler Elasticsearch’e gönderilir. Uyarılar, gösterge tabloları, tehdit avı, vaka yönetimi ve ızgara yönetimi için özel kullanıcı arayüzleri sağlanır.
Homurdanmak
Snort bir izinsiz giriş önleme sistemidir (IPS). Şüpheli ağ etkinliğini tespit etmek için bir dizi kural kullanır ve bir eşleşme bulduğunda kullanıcıları uyarır.
Snort, kötü niyetli trafiği gerçek zamanlı olarak engelleyecek şekilde de yapılandırılabilir. Üç ana işlevi vardır: TCPDUMP gibi bir paket sniffer olarak işlev görebilir, ağ trafiğini analiz etmek için bir paket kaydedici olarak hizmet edebilir veya tam bir saldırı önleme sistemi olarak çalışabilir.
Surfford
Suricata, bir ağ saldırısı algılama sistemi (IDS), saldırı önleme sistemi (IPS) ve ağ güvenlik izleme motorudur.
Suricata, HTTP isteklerini günlüğe kaydetme, TLS sertifikalarının yakalanması ve depolanması ve disk depolama için ağ akışlarından dosyaları çıkarma dahil, ağ güvenliği izleme (NSM) için özellikler sunar. Paket yakalama (PCAP) desteği derinlemesine trafik analizini basitleştirir.
Urmstack
UTMStack, güvenlik bilgileri ve etkinlik yönetimi (SIEM) ve genişletilmiş algılama ve yanıt (XDR) teknolojilerini birleştiren birleşik bir tehdit yönetim platformudur. Tehditleri tespit etmek ve durdurmak için birden fazla kaynaktan günlük verileri, tehdit istihbaratı ve kötü amaçlı yazılım etkinlik modellerinin gerçek zamanlı korelasyonunu sağlar.
Platform, tehdit doğrudan etkilenen sunucuda tespit edilmemiş olsa bile, tehditleri kökenlerinde tanımlamak ve nötralize etmek için verileri gerçek zamanlı olarak analiz eder. Korelasyon, veri almadan önce gerçekleşir, sistem iş yükünü azaltır ve yanıt sürelerini hızlandırır.
İblis
Wazuh, tehdit önleme, tespit ve yanıt için bir güvenlik platformudur. Şirket içi, sanallaştırılmış, kapsayıcı ve bulut tabanlı sistemler dahil olmak üzere çok çeşitli ortamları destekler.
Wazuh, izlenen sistemlere yüklü bir hafif güvenlik aracısı ve verileri toplayan ve analiz eden bir merkezi yönetim sunucusundan oluşur. Güvenlik olaylarını keşfetmek için bir arama motoru ve veri görselleştirme araçları sunan elastik yığınla bütünleşir.
Okumalı:
Temel açık kaynaklı siber güvenlik araçları hakkında bilgi sahibi olmak için Net Security Reklamsız Aylık Haber Bülteni’ne abone olun. BURADA Abone Olun!