O projeto Cyberprobe é uma arquitetura distribuída de código aberto para monitoramento em tempo real de redes contra ataques. O software consiste em dois componentes:
- uma sonda, que coleta pacotes de dados e o encaminha através de uma rede em protocolos de transmissão padrão.
- um monitor, que recebe os pacotes transmitidos, decodifica os protocolos e interpreta a informação.
Esses componentes podem ser usados em conjunto ou separadamente. Para uma configuração simples, eles podem ser executados no mesmo host, para ambientes mais complexos, uma série de sondas podem alimentar um único monitor.
A sonda cyberprobe possui os seguintes recursos:
- A sonda pode ser encarregada de coletar pacotes de uma interface e encaminhar qualquer que corresponda a uma lista de endereços configurável.
- A sonda pode ser configurada para receber alertas Snort. Nesta configuração, quando um alerta é recebido de Snort, o endereço de origem IP associado ao alerta é segmentado dinamicamente por um período de tempo. Em tal configuração, o sistema irá coletar dados de qualquer ator de rede que desencadeie uma regra snort e, portanto, é identificado como um potencial atacante.
- A sonda pode opcionalmente executar uma interface de gerenciamento que permite a interrogação remota do estado e a alteração da configuração. Isso permite a alteração dinâmica do mapa de segmentação e a integração com outros sistemas.
- A sonda pode ser configurada para entregar em um dos dois protocolos de fluxo padrão.
A ferramenta monitor, cybermon possui as seguintes características:
- Coleta pacotes entregues em protocolos de fluxo.
- Decodifica protocolos de pacotes e aumenta eventos em tempo quase real.
- As informações descodificadas são disponibilizadas para a lógica configurável pelo usuário para definir como os dados descodificados são tratados. É utilizado um idioma de configuração simples (LUA) e as configurações de exemplo são fornecidas para monitorar os volumes de dados, exibir dados hexdões ou armazenar os dados nos arquivos.
- São incluídas técnicas de falsificação de pacotes, que permitem redefinir as conexões TCP e forjar respostas de DNS. Isso pode ser invocado a partir de seu LUA para lutar contra ataques em sua rede.
- Tem um mecanismo de publicação / sub-entrega com assinantes para o ElasticSearch, o Google BigQuery e a loja gráfica Gaffer.
- Suporta protocolos IP, TCP, UDP, ICMP, HTTP e DNS atualmente.
O cybermon software inclui algum suporte para o STIX como uma especificação de indicador de ameaça e pode criar alertas sobre a presença de ameaças na rede.
O código é direcionado para a plataforma Linux, embora seja genérico o suficiente para ser aplicável a outras plataformas UN * X-like.
Comentários
Postar um comentário