開源資訊安全事件管理系統：OSSIM

 

在前面的眾多文章當中，我介紹了許多能夠在各種資安方面進行協助開源軟體，這些軟體都是非常優秀的套件，可以解決許多實際上遇到的問題。

不過，有些工具分別負責不同的功能，例如 OpenVAS 負責弱點檢測、Lynis 負責安全稽核、Graylog 負責記錄收集...等，那麼有沒有一種系統，可以幫我們自動化分析問題所在且集中查看呢？

開源登入事件分析工具：LogonTracer

 

在大多數的企業網路中，Windows 電腦是數量佔比最多的作業系統，而為了集中管理這些 Windows 電腦，會採用 Active Directory 服務進行集中化管理，而 Active Directory 當中的網域控制站也兼負了帳號密碼驗證的重要任務。

由於惡意軟體與網路攻擊層出不窮，經常會發生對 Windows 主機進行暴力帳密猜測的攻擊，若有啟用安全性稽核，這些事件都在 Windows 的事件記錄中，可以進行分析。

不過由事件檢視器分析是一件痛苦又麻煩的事，因此前面我們也介紹過使用 Graylog 搭配相關的 Dashboard 進行快速的總覽觀看與數據圖表，可以快速知道問題帳號、主機。然而在某些時候，需要的是將多種事件繪製成有關聯性的圖表，Graylog 就力有未逮了。

開源惡意軟體分析平台：Malice

在惡意軟體層出不窮的網路上，隨時會從各種管道如電子郵件等收到檔案，但是每個檔案是不是正常無害的內容，並不容易判斷。

而當我們對一個檔案有疑問時，若電腦上有掃毒軟體可以經由它進行檢測，若想要用更多套掃毒軟體進行檢測來判斷有沒有問題呢？

在網路上有一個知名的檢測平台 VirusTotal，是許多人會第一個想到將檔案上傳給他進行多種掃毒引擎檢測的首選。而在台灣的 TWCERT/CC (台灣電腦網路危機處理暨協調中心) 也有建置這樣的平台 Virus Check，使用上也相當容易。

但有些時候檔案的內容有機密性與特殊性的問題，不適合丟到這類公開平台時，就需要尋找自行建置的方案了。

開源暴力攻擊防禦工具：IPBan

在網路服務為主的世代，所有資訊服務都會經由網路 IP 與 Port 對外提供服務，然而現在越來越多的網路攻擊事件，尤其是暴力破解猜帳號的手法不斷上演，對於企業資訊系統的安全帶來威脅。

在這種情況下，採用登入失敗幾次號就阻擋此 IP 的作法是一個可行的方案。在很久以前 Linux 上已經有 Fail2ban 這樣防止暴力破解的入侵防護框架，功能強大而有效。

而在 Windows 陣營這邊，除了 RDP (遠端桌面協定) 漏洞之外，也有越來越多的 RDP 被猜到帳號入侵導致加密勒索檔案的案件發生，那麼 Windows 平台上有沒有這樣的開源方案可以使用呢？

開源密碼管理軟體：KeePass

現代人各種資訊設備充斥於日常生活，不論是工作上或在私人領域，使用各種系統便有各式各樣的密碼，電子郵件、網路硬碟、線上購物...等等，到處都需要密碼，這怎麼可能全部記住？更何況是有些系統偶爾才用這麼一次，恐怕下次要用時就忘了密碼，甚至連帳號叫什麼也不記得了。

每個人對於密碼記憶都有自己的一套方法，寫在記事本、便條紙...等等，更進一步的，用文字檔、用試算表軟體、用記事軟體的都有，但明文保存是不安全的。

除此之外，現在也有線上的密碼保管服務，例如 LastPass、1Password 之類平台，不過對於密碼保護的自主性，我個人還是比較想要使用開源軟體且檔案自管的方案。

開源磁碟加密軟體：VeraCrypt

在現今網路通訊方式發達，以及多種隨身存裝置的方便性，這些都成為資料外洩的可能管道。那麼在資料保全的方法上，除了檔案加密這種操作方式之外，有沒有更簡單可以一次保護較多檔案與文件安全性的作法？

有的，其中一種方法是採用磁碟加密軟體來做保護。

開源雙因素驗證器：FreeOTP Authenticator

在各種密碼攻擊手法不斷突破的情況下，登入系統僅只於使用一道帳號密碼程序顯然已經不夠安全，即便加強密碼複雜度，還是需要有更多一道的安全程序以達成雙因素驗證 (2FA，Two-Factor authentication) ，而一次性密碼 (OTP) 即是一種適合的方案。

在過去 OTP 的其中一種方案是發送簡訊碼至手機上，而現在有越來越多系統支援以手機 App 結合時間同步產生的方式來達成更容易且方便的機制 (TOTP)，並降低發送簡訊的成本方案可以採用。

開源網路裝置服務監控系統：LibreNMS (五)

經過前面幾篇的操作，我們已經可以收集非常詳細的裝置資訊、檢測多項服務運作的健康狀態甚至是網域與憑證的效期，也把裝置的事件統一收容進來，既然這麼多的資訊讓我們查詢，接下來就要做出更多進階的應用，將這些數據做為警報發送的材料來源。

開源網路裝置服務監控系統：LibreNMS (四)

在前面介紹了多種監測方式與外掛程式的整合，但有一些狀況是在事件記錄中才能判讀出來，例如更早之前介紹過的 Graylog 就是一款非常優秀的事件管理與分析系統。

LibreNMS 自身也可以做為事件記錄伺服器，集中收容其它主機的 Log 回來存放與運用。

開源網路裝置服務監控系統：LibreNMS (三)

繼昨天的 LibreNMS 使用 IPMI、Check_MK、Applications 強化管理能力之後，今天將要更深入的介紹更多種可以提升資安防護能力的整合套件，讓問題能夠容易的浮現在管理者面前。

註：範例中的 test.com.tw 為示意，請自行更換至您的域名。

開源網路裝置服務監控系統：LibreNMS (二)

前一篇的內容是以 LibreNMS 搭配 SNMP 取得裝置的詳細資訊，儘管豐富但仍然不夠全面。

LibreNMS 的功力當然不僅於此，所以本篇將介紹如何更進一步的取得更多裝置其它資訊，讓 LibreNMS 可以看到更多有用的資訊。

開源網路裝置服務監控系統：LibreNMS (一)

對於 IT 管理者來說，每天要面對的就是海量網路裝置，這些裝置的使用情況與好壞，流量就是最重要的指標，在這麼多的來源數據，我們需要有良好的工具軟體以加速我們掌握最新的情況。

除此之外，各個伺服器所提供多樣的服務，亦需要有自動化的狀態監控系統，才能在發生障礙時即時通知管理者，及早發現及早治療，從而降低系統停止服務的時間。

開源記錄收集轉送工具：NXLog CE

在事件記錄系統當中，Syslog 可以算是流通最廣泛且支援性最廣的其中一種，尤其是 Unix-like 的作業系統幾乎都能支援它，因此對於我們要做集中收納記錄的機制是便利而快速。

但現實生活中就是充滿了各種變數，偏偏市佔率極高的 Windows 作業系統就不支援它，再加上前一篇我們介紹過一款相當強悍的 Graylog 系統它也是吃 Syslog 為主，難道就要放棄 Windows 不管嗎？

不，坐以待斃並不是我們的風格。

開源記錄集中管理系統：Graylog (二)

(取自 Wikipedia)

在企業當中的記錄量越來越多，像 Graylog 這樣的解決方案就會成為所有記錄資料的重要處理核心，將資料收集進來後經過處理、轉換、剖析等程序，留給管理者判斷與決策之用。

同時，將需要特別注意的事件以相關系統發出警報，或是丟進 SOC 或 SIEM 等之類的資安機制進行反應，在上圖中可以清楚的看出記錄集中管理系統與週邊系統的連結方式。

在前一篇介紹了 Graylog 的基本安裝與使用方式，這一篇從如何把資料轉送給 Graylog 進行及集中存放、記錄內容剖析，以及資訊看板的實用方式。