如今企業(yè)安全團隊面臨的網絡風險和運營挑戰(zhàn)正在不斷累積：更多的數(shù)據(jù)、更復雜的攻擊和更大的攻擊面和資產暴露面需要監(jiān)控。然而，如果實施得當，人工智能技術，例如無人監(jiān)督的機器學習，可以推動企業(yè)向下一代安全運營模式演進。調研數(shù)據(jù)顯示，現(xiàn)代企業(yè)已經開始大量使用自動化工具來幫助保護關鍵信息系統(tǒng)和數(shù)據(jù)資產。以下收集整理了目前熱門的開源版安全運營工具，可以幫助企業(yè)提高安全運營工作的自動化水平，滿足企業(yè)對未來安全運營的多種需求。

1、Velociraptor

Velociraptor是一種較先進的數(shù)字取證和事件響應（DFIR）輕量級平臺，它使小型安全運營（SecOps）團隊能夠調查工件、監(jiān)測龐大數(shù)字生態(tài)系統(tǒng)中的異常端點活動、制定防御策略，并應對數(shù)據(jù)泄露等事件。

主要特點

• 可以通過VQL（Velociraptor查詢語言）定制工具；
• 能夠在端點或服務器上創(chuàng)建和定制監(jiān)控規(guī)則；
• 調查發(fā)生在企業(yè)環(huán)境外的數(shù)據(jù)泄露；
• 能夠調查研究各種設備和數(shù)據(jù)流；
• 重構惡意活動。

應用部署

根據(jù)官方文檔，部署Velociraptor的最常用方法是通過GitHub來部署。官方文件顯示，Velociraptor的設置應包括三大階段和一些中間步驟。

第一階段：服務器部署。有三種部署方式：自簽名SSL、云部署或Instant Velociraptor（具體可參閱GitHub頁面）。

第二個階段：客戶端部署。常見的部署選項包括：交互式設置、自定義MSI、客戶端即服務和無代理部署。

第三個階段：用戶授權。

傳送門：https://docs.velociraptor.app/

2、2SecurityOnion

SecurityOnion是一款Linux環(huán)境下針對網絡設備的安全監(jiān)控、日志管理和威脅搜索的解決方案，能夠采用多個第三方工具。該解決方案擁有較為強大的即插即用功能和高可擴展性。

主要特點

• 由開源社區(qū)提供支持和維護；
• 支持多種類型的數(shù)據(jù)：代理、警報、資產、提取內容、會話和事務信息等；
• 與眾多第三方工具無縫集成，包括：Kibana、Logstash、Suricata、Stenographer、Wazuh、 CyberChef和Elasticsearch等；
• 高可擴展性。一套Securityonion方案最多可以支持1000個節(jié)點；
• 豐富的原生Web界面；
• 可以與Azure和亞馬遜AWS集成。

部署方式

SecurityOnion需要通過安裝向導來部署應用，具體需要參閱該產品的GitHub頁面以獲得詳細部署說明。

傳送門：

https://securityonionsolutions.com/software/

3、Arkime

Arkime是一款面向威脅搜索的開源數(shù)據(jù)包捕獲和搜索工具，擁有高可擴展性和強大的分析能力。

主要特點

• 形式豐富的系統(tǒng)連接圖；
• 可以創(chuàng)建自定義的SPI（會話概要信息）頁面；
• 基于Web的平臺化應用；
• 具有面向JSON和PCAP數(shù)據(jù)的API接口。

部署方式

從官網獲取適當?shù)陌惭b包，并按所附的說明文檔安裝操作。

傳送門：https://arkime.com/

4、PRADAS

PRADS被動實時資產檢測系統(tǒng)有時也被拼寫為PRADAS，這是一種被動網絡流量分析工具，能夠快速識別各種網絡應用服務和活動主機。

主要特點

• 可以便捷地與專有或第三方IDS/IPS方案集成；
• 可以按需轉儲信息；
• 高級腳本。

部署方式

PRADS提供了詳細的安裝文檔，幫助用戶了解有關部署過程的詳細信息。

傳送門：

https://github.com/gamelinux/prads/

5、GRR

GRR是一款企業(yè)級遠程實時取證工具，可幫助用戶深入分析并了解各種網絡攻擊模式。這款開源解決方案還可以幫助用戶執(zhí)行快速的安全事件分類，也可以支持任意數(shù)量的端點。

應用特點

• 能夠進行詳細的端點數(shù)據(jù)分析（比如CPU使用情況、內存和I/O分配等）；
• 可以通過SleuthKit分析原始文件系統(tǒng)訪問；
• 支持多平臺，與Windows、Linux和Mac OSX等主流系統(tǒng)兼容；
• 自動化調度自定義任務；
• 面向充分利用JSON的AngularJS Web UI和API；
• 支持Go、Python、PowerShell和服務器端庫。

部署方式

GRR部署是分兩個階段：服務器安裝和客戶端安裝：服務器可以從DEB、HEAD DEB、PIP包、源文件或從GRR Docker鏡像來安裝；而在客戶端，可視情形使用MSI包或老式MSI。

傳送門：

https://grr-doc.readthedocs.io/en/latest/#

6、Kansa

Kansa是一種模塊化的PowerShell事件響應框架，與PSv2和PSv3兼容。該解決方案讓用戶可以從多個主機收集數(shù)據(jù)、調查數(shù)據(jù)泄露，并創(chuàng)建安全基準。

應用特點

• 不同模塊均能夠作為獨立的實用程序來運行；
• 是高級腳本程序；
• 可以輕量級部署應用。

部署方式

了解有關設置和部署過程的詳細信息，可以參閱Kansa的GitHub文檔。

傳送門：

https://trustedsignal.blogspot.com/search/label/Kansa

7、pfSense

pfSense是一款基于Web的路由防火墻，擁有強大的數(shù)據(jù)包控制功能。該解決方案是流行的FreeBSD定制版本，可以通過硬件和云兩種方法部署應用。

應用特點

• 較完善的防火墻和路由功能；
• 能夠與Azure、AWS等公有云無縫集成。

部署方式

可使用Netgate Store的預加載包來安裝和部署pfSense。

傳送門：https://www.pfsense.org/

8、ZAProxy

OWASP的ZAProxy是一款優(yōu)秀的開源漏洞掃描工具，擁有較強大的滲透測試功能。該產品應用于瀏覽器和Web應用程序之間（即充當中間設備），允許用戶執(zhí)行漏洞掃描、模擬Web攻擊，并幫助查找源代碼中可能被利用的安全漏洞。

應用特點

• 基于Web的界面部署應用；
• 較全面的漏洞和滲透測試功能；
• ZAProxy與Linux、MacOS和Windows等主流系統(tǒng)環(huán)境兼容。

部署方式

可通過官方網站下載適當?shù)陌惭b包，還提供了Docker鏡像安裝模式

傳送門：https://www.zaproxy.org/getting-started/

9、MozDef

MozDef是Mozilla推出的基于微服務的SIEM平臺。該方案在設計時受到了黑帽攻擊工具的啟發(fā)，可以幫助用戶自動化處理低級別的安全流程，并進行實時事件調查。

應用特點

• 能夠與Elastisearch等工具協(xié)同運行；
• 具有多個自動化層（比如云保護和防火墻等)；
• 可以進行實時協(xié)作；
• 由較豐富的安全事件度量指標。

部署方式

MozDef解決方案可以安裝在Docker容器中，也可以直接從運行CentOS 7的計算設備來啟動運行。

傳送門：https://mozdef.readthedocs.io/en/latest/overview.html

10、Sigma

Sigma是一種開放格式的簽名工具，可使日志文件注釋實現(xiàn)標準化和自動化。

應用特點

• 幫助安全團隊加強跨部門的協(xié)作；
• 具有功能強大的注釋轉換器；
• 可以與YARA和IOC協(xié)同運行。

部署方式

可以參閱Sigma的GitHub文檔，了解有關工具設置、部署和故障排除的詳細信息。

傳送門：https://github.com/SigmaHQ

參考鏈接：https://heimdalsecurity.com/blog/soar-tools/