移動(dòng)和云計(jì)算的采用擴(kuò)大了現(xiàn)代企業(yè)的安全邊界，許多企業(yè)在更深入地了解其IT基礎(chǔ)設(shè)施，以監(jiān)控惡意活動(dòng)或軟件。這些潮流帶來(lái)了越來(lái)越多有待評(píng)估的威脅數(shù)據(jù)。想把這些數(shù)據(jù)轉(zhuǎn)化成有意義的情報(bào)，就需要不僅限于傳統(tǒng)安全信息和事件管理(SIEM)功能的工具，以便整合和分析不同類型的數(shù)據(jù)(包括結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù))。

分析威脅數(shù)據(jù)可能是一筆不小的開支，對(duì)中小企業(yè)來(lái)說尤為如此。除了軟件許可費(fèi)外，還面臨硬件、人員和培訓(xùn)等方面的成本。不過下面幾個(gè)免費(fèi)工具可以助你一臂之力。

思科的OpenSOC

思科系統(tǒng)公司的高級(jí)服務(wù)經(jīng)理Pablo Salazar說：“我們不再依賴傳統(tǒng)的威脅檢測(cè)方式。”如今的安全需要運(yùn)用大數(shù)據(jù)分析手段;去年11月，思科宣布了OpenSOC開源安全分析框架。OpenSOC是一種異常檢測(cè)和事件分析平臺(tái)，它整合了Hadoop生態(tài)系統(tǒng)的諸多部分(包括Storm、Kafka和Elasticsearch)，提供全數(shù)據(jù)包捕獲、索引、存儲(chǔ)、數(shù)據(jù)強(qiáng)化以及流處理和批處理，另外還提供實(shí)時(shí)搜索和遙測(cè)聚合。免費(fèi)工具可從這里獲得(http://opensoc.github.io)。

社區(qū)版Infinit.e

IKANOW的Infinit.e開源安全分析工具與第三方應(yīng)用程序整合起來(lái)，提供了吸收、搜索、數(shù)據(jù)窗口小部件和導(dǎo)出等功能。免費(fèi)的社區(qū)版其實(shí)是Infinit.e企業(yè)版的簡(jiǎn)化版。它可以收集、存儲(chǔ)、處理、檢索、分析和顯示非結(jié)構(gòu)化文檔及結(jié)構(gòu)化記錄。來(lái)自所有數(shù)據(jù)源的數(shù)據(jù)轉(zhuǎn)換成單一數(shù)據(jù)模型，以便可以對(duì)整個(gè)數(shù)據(jù)集執(zhí)行常見查詢、評(píng)分算法和數(shù)據(jù)分析等任務(wù)。社區(qū)版可從這里獲得(http://www.ikanow.com/downloads/)。

Splunk

Splunk支持?jǐn)?shù)據(jù)發(fā)現(xiàn)，可以通過數(shù)據(jù)索引功能和谷歌率先推出的MapReduce功能，分析非常龐大的數(shù)據(jù)集。Splunk可收集來(lái)自大多數(shù)數(shù)據(jù)源的未經(jīng)規(guī)范化處理的數(shù)據(jù)，對(duì)安全事件執(zhí)行數(shù)據(jù)分析和統(tǒng)計(jì)分析。它讓威脅分析人員可以解讀威脅情報(bào)數(shù)據(jù)，并識(shí)別和記錄威脅。它可從這里下載獲得(http://www.splunk.com/en_us/download.html)。

AlienVault開放威脅交換中心(OTX)

AlienVault OTX本身是一個(gè)論壇，而不是一款軟件工具：它讓你可以自由進(jìn)入威脅研究人員和安全專業(yè)人員云集的全球社區(qū)。該平臺(tái)提供了社區(qū)生成的威脅數(shù)據(jù)，支持協(xié)作研究，并且使這個(gè)過程：利用來(lái)自多個(gè)數(shù)據(jù)源的威脅情況更新你的安全基礎(chǔ)設(shè)施實(shí)現(xiàn)了自動(dòng)化。論壇成員可以積極討論、研究、證實(shí)和分享最新的威脅數(shù)據(jù)、趨勢(shì)和技巧。你可以在此加入(https://otx.alienvault.com)。

打造開源威脅情報(bào)系統(tǒng)

[[149182]]

印度共生國(guó)際大學(xué)共生信息技術(shù)中心的研究人員提議采用一種威脅情報(bào)系統(tǒng)模型，以滿足這一要求：利用具有成本效益的動(dòng)態(tài)解決方案來(lái)對(duì)付復(fù)雜的網(wǎng)絡(luò)威脅。

Sabari Girish Nair和Priti Puri博士撰文道：“我們的解決方案需要簡(jiǎn)單，又易于構(gòu)建和實(shí)施。”這種模型的各部分包括：公共數(shù)據(jù)源和開源數(shù)據(jù)庫(kù)管理系統(tǒng)用來(lái)存儲(chǔ)安全日志和高級(jí)持續(xù)威脅的概況信息，SpagoBI開源商業(yè)智能套件則作為分析引擎。

他們倆表示，這種解決方案可能不如專有的商業(yè)系統(tǒng)來(lái)得一樣高效或完全自動(dòng)化，但是幾乎是免費(fèi)的，而且很容易改動(dòng)。Nair和Puri的文章詳細(xì)描述了開源解決方案的各個(gè)部分，文章可在此獲得(http://internationaljournalofresearch.org/index.php/ijr/article/view/1791/1681)。

英文：5 Free Security Analytics Tools