如今企業(yè)安全團(tuán)隊(duì)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)和運(yùn)營(yíng)挑戰(zhàn)正在不斷累積：更多的數(shù)據(jù)、更復(fù)雜的攻擊和更大的攻擊面和資產(chǎn)暴露面需要監(jiān)控。然而，如果實(shí)施得當(dāng)，人工智能技術(shù)，例如無(wú)人監(jiān)督的機(jī)器學(xué)習(xí)，可以推動(dòng)企業(yè)向下一代安全運(yùn)營(yíng)模式演進(jìn)。調(diào)研數(shù)據(jù)顯示，現(xiàn)代企業(yè)已經(jīng)開(kāi)始大量使用自動(dòng)化工具來(lái)幫助保護(hù)關(guān)鍵信息系統(tǒng)和數(shù)據(jù)資產(chǎn)。以下收集整理了目前熱門(mén)的開(kāi)源版安全運(yùn)營(yíng)工具，可以幫助企業(yè)提高安全運(yùn)營(yíng)工作的自動(dòng)化水平，滿足企業(yè)對(duì)未來(lái)安全運(yùn)營(yíng)的多種需求。

1、Velociraptor

Velociraptor是一種較先進(jìn)的數(shù)字取證和事件響應(yīng)（DFIR）輕量級(jí)平臺(tái)，它使小型安全運(yùn)營(yíng)（SecOps）團(tuán)隊(duì)能夠調(diào)查工件、監(jiān)測(cè)龐大數(shù)字生態(tài)系統(tǒng)中的異常端點(diǎn)活動(dòng)、制定防御策略，并應(yīng)對(duì)數(shù)據(jù)泄露等事件。

主要特點(diǎn)

• 可以通過(guò)VQL（Velociraptor查詢語(yǔ)言）定制工具；
• 能夠在端點(diǎn)或服務(wù)器上創(chuàng)建和定制監(jiān)控規(guī)則；
• 調(diào)查發(fā)生在企業(yè)環(huán)境外的數(shù)據(jù)泄露；
• 能夠調(diào)查研究各種設(shè)備和數(shù)據(jù)流；
• 重構(gòu)惡意活動(dòng)。

應(yīng)用部署

根據(jù)官方文檔，部署Velociraptor的最常用方法是通過(guò)GitHub來(lái)部署。官方文件顯示，Velociraptor的設(shè)置應(yīng)包括三大階段和一些中間步驟。

第一階段：服務(wù)器部署。有三種部署方式：自簽名SSL、云部署或Instant Velociraptor（具體可參閱GitHub頁(yè)面）。

第二個(gè)階段：客戶端部署。常見(jiàn)的部署選項(xiàng)包括：交互式設(shè)置、自定義MSI、客戶端即服務(wù)和無(wú)代理部署。

第三個(gè)階段：用戶授權(quán)。

傳送門(mén)：https://docs.velociraptor.app/

2、2SecurityOnion

SecurityOnion是一款Linux環(huán)境下針對(duì)網(wǎng)絡(luò)設(shè)備的安全監(jiān)控、日志管理和威脅搜索的解決方案，能夠采用多個(gè)第三方工具。該解決方案擁有較為強(qiáng)大的即插即用功能和高可擴(kuò)展性。

主要特點(diǎn)

• 由開(kāi)源社區(qū)提供支持和維護(hù)；
• 支持多種類型的數(shù)據(jù)：代理、警報(bào)、資產(chǎn)、提取內(nèi)容、會(huì)話和事務(wù)信息等；
• 與眾多第三方工具無(wú)縫集成，包括：Kibana、Logstash、Suricata、Stenographer、Wazuh、 CyberChef和Elasticsearch等；
• 高可擴(kuò)展性。一套Securityonion方案最多可以支持1000個(gè)節(jié)點(diǎn)；
• 豐富的原生Web界面；
• 可以與Azure和亞馬遜AWS集成。

部署方式

SecurityOnion需要通過(guò)安裝向?qū)?lái)部署應(yīng)用，具體需要參閱該產(chǎn)品的GitHub頁(yè)面以獲得詳細(xì)部署說(shuō)明。

傳送門(mén)：

https://securityonionsolutions.com/software/

3、Arkime

Arkime是一款面向威脅搜索的開(kāi)源數(shù)據(jù)包捕獲和搜索工具，擁有高可擴(kuò)展性和強(qiáng)大的分析能力。

主要特點(diǎn)

• 形式豐富的系統(tǒng)連接圖；
• 可以創(chuàng)建自定義的SPI（會(huì)話概要信息）頁(yè)面；
• 基于Web的平臺(tái)化應(yīng)用；
• 具有面向JSON和PCAP數(shù)據(jù)的API接口。

部署方式

從官網(wǎng)獲取適當(dāng)?shù)陌惭b包，并按所附的說(shuō)明文檔安裝操作。

傳送門(mén)：https://arkime.com/

4、PRADAS

PRADS被動(dòng)實(shí)時(shí)資產(chǎn)檢測(cè)系統(tǒng)有時(shí)也被拼寫(xiě)為PRADAS，這是一種被動(dòng)網(wǎng)絡(luò)流量分析工具，能夠快速識(shí)別各種網(wǎng)絡(luò)應(yīng)用服務(wù)和活動(dòng)主機(jī)。

主要特點(diǎn)

• 可以便捷地與專有或第三方IDS/IPS方案集成；
• 可以按需轉(zhuǎn)儲(chǔ)信息；
• 高級(jí)腳本。

部署方式

PRADS提供了詳細(xì)的安裝文檔，幫助用戶了解有關(guān)部署過(guò)程的詳細(xì)信息。

傳送門(mén)：

https://github.com/gamelinux/prads/

5、GRR

GRR是一款企業(yè)級(jí)遠(yuǎn)程實(shí)時(shí)取證工具，可幫助用戶深入分析并了解各種網(wǎng)絡(luò)攻擊模式。這款開(kāi)源解決方案還可以幫助用戶執(zhí)行快速的安全事件分類，也可以支持任意數(shù)量的端點(diǎn)。

應(yīng)用特點(diǎn)

• 能夠進(jìn)行詳細(xì)的端點(diǎn)數(shù)據(jù)分析（比如CPU使用情況、內(nèi)存和I/O分配等）；
• 可以通過(guò)SleuthKit分析原始文件系統(tǒng)訪問(wèn)；
• 支持多平臺(tái)，與Windows、Linux和Mac OSX等主流系統(tǒng)兼容；
• 自動(dòng)化調(diào)度自定義任務(wù)；
• 面向充分利用JSON的AngularJS Web UI和API；
• 支持Go、Python、PowerShell和服務(wù)器端庫(kù)。

部署方式

GRR部署是分兩個(gè)階段：服務(wù)器安裝和客戶端安裝：服務(wù)器可以從DEB、HEAD DEB、PIP包、源文件或從GRR Docker鏡像來(lái)安裝；而在客戶端，可視情形使用MSI包或老式MSI。

傳送門(mén)：

https://grr-doc.readthedocs.io/en/latest/#

6、Kansa

Kansa是一種模塊化的PowerShell事件響應(yīng)框架，與PSv2和PSv3兼容。該解決方案讓用戶可以從多個(gè)主機(jī)收集數(shù)據(jù)、調(diào)查數(shù)據(jù)泄露，并創(chuàng)建安全基準(zhǔn)。

應(yīng)用特點(diǎn)

• 不同模塊均能夠作為獨(dú)立的實(shí)用程序來(lái)運(yùn)行；
• 是高級(jí)腳本程序；
• 可以輕量級(jí)部署應(yīng)用。

部署方式

了解有關(guān)設(shè)置和部署過(guò)程的詳細(xì)信息，可以參閱Kansa的GitHub文檔。

傳送門(mén)：

https://trustedsignal.blogspot.com/search/label/Kansa

7、pfSense

pfSense是一款基于Web的路由防火墻，擁有強(qiáng)大的數(shù)據(jù)包控制功能。該解決方案是流行的FreeBSD定制版本，可以通過(guò)硬件和云兩種方法部署應(yīng)用。

應(yīng)用特點(diǎn)

• 較完善的防火墻和路由功能；
• 能夠與Azure、AWS等公有云無(wú)縫集成。

部署方式

可使用Netgate Store的預(yù)加載包來(lái)安裝和部署pfSense。

傳送門(mén)：https://www.pfsense.org/

8、ZAProxy

OWASP的ZAProxy是一款優(yōu)秀的開(kāi)源漏洞掃描工具，擁有較強(qiáng)大的滲透測(cè)試功能。該產(chǎn)品應(yīng)用于瀏覽器和Web應(yīng)用程序之間（即充當(dāng)中間設(shè)備），允許用戶執(zhí)行漏洞掃描、模擬Web攻擊，并幫助查找源代碼中可能被利用的安全漏洞。

應(yīng)用特點(diǎn)

• 基于Web的界面部署應(yīng)用；
• 較全面的漏洞和滲透測(cè)試功能；
• ZAProxy與Linux、MacOS和Windows等主流系統(tǒng)環(huán)境兼容。

部署方式

可通過(guò)官方網(wǎng)站下載適當(dāng)?shù)陌惭b包，還提供了Docker鏡像安裝模式

傳送門(mén)：https://www.zaproxy.org/getting-started/

9、MozDef

MozDef是Mozilla推出的基于微服務(wù)的SIEM平臺(tái)。該方案在設(shè)計(jì)時(shí)受到了黑帽攻擊工具的啟發(fā)，可以幫助用戶自動(dòng)化處理低級(jí)別的安全流程，并進(jìn)行實(shí)時(shí)事件調(diào)查。

應(yīng)用特點(diǎn)

• 能夠與Elastisearch等工具協(xié)同運(yùn)行；
• 具有多個(gè)自動(dòng)化層（比如云保護(hù)和防火墻等)；
• 可以進(jìn)行實(shí)時(shí)協(xié)作；
• 由較豐富的安全事件度量指標(biāo)。

部署方式

MozDef解決方案可以安裝在Docker容器中，也可以直接從運(yùn)行CentOS 7的計(jì)算設(shè)備來(lái)啟動(dòng)運(yùn)行。

傳送門(mén)：https://mozdef.readthedocs.io/en/latest/overview.html

10、Sigma

Sigma是一種開(kāi)放格式的簽名工具，可使日志文件注釋實(shí)現(xiàn)標(biāo)準(zhǔn)化和自動(dòng)化。

應(yīng)用特點(diǎn)

• 幫助安全團(tuán)隊(duì)加強(qiáng)跨部門(mén)的協(xié)作；
• 具有功能強(qiáng)大的注釋轉(zhuǎn)換器；
• 可以與YARA和IOC協(xié)同運(yùn)行。

部署方式

可以參閱Sigma的GitHub文檔，了解有關(guān)工具設(shè)置、部署和故障排除的詳細(xì)信息。

傳送門(mén)：https://github.com/SigmaHQ

參考鏈接：https://heimdalsecurity.com/blog/soar-tools/