厌倦了安全漏洞吗？试试这些开源安全管理工具

在发现威胁时，安全团队需要能够从各地提取数据并使其更容易分析的工具。在本文中，我们将看看一些流行的开源工具，这些工具有助于从日志管理到网络和主机监控，甚至事件响应。这些工具为团队提供了早期发现威胁并快速采取行动所需的可见性。

Cortex

Cortex由TheHive项目开发，旨在帮助SOC、CSIRT和安全研究人员从单个接口大规模分析可观察物。它支持通过Web界面或REST API单独或批量分析IP地址、URL、域名、文件哈希等。

Cortex通过提供一个内置分析器的集中平台，消除了手动集成多个工具的需要。额外的分析器可以在团队或更广泛的社区之间开发和共享，从而简化调查并改善协作。

Fluentd

Fluentd是一个统一数据收集和交付的数据收集器，使数据更容易处理和理解。

Fluentd通过提供统一的日志记录层，将数据源与后端系统分离。这可以实时访问各种日志类型，同时降低不良数据影响性能或决策的风险。通过标准化日志收集，Fluentd帮助组织加快发展。

安全洋葱

安全洋葱提供网络可见性、主机可见性、入侵检测蜜罐、日志管理和案例管理。

为了网络可见性，它支持使用Suricata进行基于签名的检测，使用Zeek或Suricata进行协议元数据和文件提取，使用速记员或Suricata进行数据包捕获，以及文件分析。主机可见性是通过Elastic Agent处理的，它通过Elastic Fleet实现数据收集、使用osquery的实时查询和集中管理。也可以添加基于OpenCanary的入侵检测蜜罐，以提高企业可见度。

所有收集的日志都发送到Elasticsearch。为警报、仪表板、威胁狩猎、案例管理和网格管理提供自定义用户界面。

Snort

Snort是一个入侵防御系统（IPS）。它使用一组规则来检测可疑的网络活动，并在发现匹配时提醒用户。

Snort也可以配置为实时阻止恶意流量。它有三个主要功能：它可以像tcpdump一样充当数据包嗅探器，充当分析网络流量的数据包记录器，或者充当完整的入侵防御系统。

Suricata

Suricata是一个网络入侵检测系统（IDS）、入侵防御系统（IPS）和网络安全监控引擎。

Suricata提供网络安全监控（NSM）功能，包括记录HTTP请求、捕获和存储TLS证书，以及从网络流中提取磁盘存储文件。它对数据包捕获（pcap）的支持简化了深入的流量分析。

UTMStack

UTMStack是一个统一的威胁管理平台，它结合了安全信息和事件管理（SIEM）以及扩展检测和响应（XDR）技术。它实现了来自多个来源的日志数据、威胁情报和恶意软件活动模式的实时关联，以检测和阻止威胁。

该平台实时分析日志数据，以识别和中和来源的威胁，即使威胁在受影响的服务器上没有直接检测到。相关性发生在数据摄取之前，减少了系统工作量并加快了响应时间。

Wazuh

Wazuh是一个用于威胁预防、检测和响应的安全平台。它支持广泛的环境，包括本地、虚拟化、容器化和基于云的系统。

Wazuh由安装在监控系统上的轻量级安全代理和收集和分析数据的中央管理服务器组成。它与Elastic Stack集成，提供用于探索安全事件的搜索引擎和数据可视化工具。

文章来源：helpnetsecurity