https://www.itopssec.com/open-source-nta-ips-ndr-tools-comparison.html
笔者目前所在的公司,办公网用户端有安装桌管软件,IDC服务器有部署某安全初创公司的EDR产品,综合来看在终端这层做得还算到位,能满足目前业务体量下的安全需求。但是在网络这层,却一直是有缺失的。除了SNMP监控,就几乎没有其他的网络监控工具了。以往出现突发事件,还需要在入口处部署一台机器临时抓包。效率低不说,问题回溯能力几乎没有。
先前部署了一套NetFlow流量分析系统后,算是对内网可视化有从0到1的改变,并发现和定位了几起流量异常和员工异常行为。但既然NetFlow都收集了,总忍不住想看一看更底层的数据包,是否能捕获更多的异常事件。于是就收集了一下这几年出现的一些开源的网络流量分析工具,看看有没有能满足基本需求的:
- RockNSM: http://rocknsm.io/ (由密苏里州国民警卫队网络团队创建的项目)
- SELKS: https://github.com/StamusNetworks/SELKS
- NetMon Freemium: https://logrhythm.com/products/logrhythm-netmon-freemium/ (非开源,但LogRhythm位于Gartner SIEM魔方图领导者象限。有免费产品就想体验一下,但仅支持1G速率和1G存储)
- SIEMonster: https://siemonster.com/ (社区版仅支持100终端,且不提供用户行为管理和机器学习)
- SecurityOnion: https://securityonion.net/
SIEMonster和SecurityOnion这两款,同互联网界的元老级开源SIEM项目OSSIM类似,既做Network IDS又做Host IDS,是大而全的项目,且SIEMonster企业版还支持Human Based Behaviour和Machine Learning。但以笔者经验,小众开源项目走大而全的路子,能出彩的可能性不高(要么就是免费有阉割)。另外系统大了部署和配置就会比较“重”,所以这两款就先观望。
RockNSM项目比较新,据说还拿到了2018年的美国政府创新奖。就是试用下来bug还是不少(100Mbps左右的流量就出现了性能问题、Suricata的数据出不来)。UI也是基于Kibana的简单定制,乍看酷炫,就是比较难抓到重点:
SELKS的完成度就比较高了,部署快,UI除了标准的Kibana还有自己定制的报表和性能看板。新的5.0更集成了全流量抓包工具Moloch。整合的工具不多,但是选取视角和质量都不错。
最终,我们就留用了SELKS作为现阶段临时的网络流量分析工具。剩下的工作就是对Suricata规则的熟悉和理解,争取可以编写自己的规则。
顺便记录一下两个bug:
- Rulesets sources里有几个源在github上,需要有梯子才能正常更新
- 5.0版本集成的Moloch,一些组件的路径要修改下。否则服务无法启动
当然使用免费开源的IDS工具是不得已的办法,大环境不好,今年IT的预算一定是缩减的。不过另一方面,企业在安全这项的支出上一定要意识到安全专家的人力成本才是最高的,IDS这种产品容易生成海量的告警,总得有人看,对吧?