O projeto Cyberprobe é uma arquitetura distribuída de código aberto para monitoramento em tempo real de redes contra ataques.

Administração do Sistema

---

     O projeto Cyberprobe é uma arquitetura distribuída de código aberto para monitoramento em tempo real de redes contra ataques. O software consiste em dois componentes:

• uma sonda, que coleta pacotes de dados e o encaminha através de uma rede em protocolos de transmissão padrão.
• um monitor, que recebe os pacotes transmitidos, decodifica os protocolos e interpreta a informação.

     Esses componentes podem ser usados ​​em conjunto ou separadamente. Para uma configuração simples, eles podem ser executados no mesmo host, para ambientes mais complexos, uma série de sondas podem alimentar um único monitor.

A sonda  cyberprobe possui os seguintes recursos:

• A sonda pode ser encarregada de coletar pacotes de uma interface e encaminhar qualquer que corresponda a uma lista de endereços configurável.
• A sonda pode ser configurada para receber alertas Snort. Nesta configuração, quando um alerta é recebido de Snort, o endereço de origem IP associado ao alerta é segmentado dinamicamente por um período de tempo. Em tal configuração, o sistema irá coletar dados de qualquer ator de rede que desencadeie uma regra snort e, portanto, é identificado como um potencial atacante.
• A sonda pode opcionalmente executar uma interface de gerenciamento que permite a interrogação remota do estado e a alteração da configuração. Isso permite a alteração dinâmica do mapa de segmentação e a integração com outros sistemas.
• A sonda pode ser configurada para entregar em um dos dois protocolos de fluxo padrão.

A ferramenta monitor,  cybermon possui as seguintes características:

• Coleta pacotes entregues em protocolos de fluxo.
• Decodifica protocolos de pacotes e aumenta eventos em tempo quase real.
• As informações descodificadas são disponibilizadas para a lógica configurável pelo usuário para definir como os dados descodificados são tratados. É utilizado um idioma de configuração simples (LUA) e as configurações de exemplo são fornecidas para monitorar os volumes de dados, exibir dados hexdões ou armazenar os dados nos arquivos.
• São incluídas técnicas de falsificação de pacotes, que permitem redefinir as conexões TCP e forjar respostas de DNS. Isso pode ser invocado a partir de seu LUA para lutar contra ataques em sua rede.
• Tem um mecanismo de publicação / sub-entrega com assinantes para o ElasticSearch, o Google BigQuery e a loja gráfica Gaffer.
• Suporta protocolos IP, TCP, UDP, ICMP, HTTP e DNS atualmente.

O  cybermon software inclui algum suporte para o STIX como uma especificação de indicador de ameaça e pode criar alertas sobre a presença de ameaças na rede.

O código é direcionado para a plataforma Linux, embora seja genérico o suficiente para ser aplicável a outras plataformas UN * X-like.