如今企業安全團隊面臨的網絡風險和運營挑戰正在不斷累積：更多的數據、更復雜的攻擊和更大的攻擊面和資產暴露面需要監控。然而，如果實施得當，人工智能技術，例如無人監督的機器學習，可以推動企業向下一代安全運營模式演進。調研數據顯示，現代企業已經開始大量使用自動化工具來幫助保護關鍵信息系統和數據資產。以下收集整理了目前熱門的開源版安全運營工具，可以幫助企業提高安全運營工作的自動化水平，滿足企業對未來安全運營的多種需求。

1、Velociraptor

Velociraptor是一種較先進的數字取證和事件響應（DFIR）輕量級平臺，它使小型安全運營（SecOps）團隊能夠調查工件、監測龐大數字生態系統中的異常端點活動、制定防御策略，并應對數據泄露等事件。

主要特點

• 可以通過VQL（Velociraptor查詢語言）定制工具；
• 能夠在端點或服務器上創建和定制監控規則；
• 調查發生在企業環境外的數據泄露；
• 能夠調查研究各種設備和數據流；
• 重構惡意活動。

應用部署

根據官方文檔，部署Velociraptor的最常用方法是通過GitHub來部署。官方文件顯示，Velociraptor的設置應包括三大階段和一些中間步驟。

第一階段：服務器部署。有三種部署方式：自簽名SSL、云部署或Instant Velociraptor（具體可參閱GitHub頁面）。

第二個階段：客戶端部署。常見的部署選項包括：交互式設置、自定義MSI、客戶端即服務和無代理部署。

第三個階段：用戶授權。

傳送門：https://docs.velociraptor.app/

2、2SecurityOnion

SecurityOnion是一款Linux環境下針對網絡設備的安全監控、日志管理和威脅搜索的解決方案，能夠采用多個第三方工具。該解決方案擁有較為強大的即插即用功能和高可擴展性。

主要特點

• 由開源社區提供支持和維護；
• 支持多種類型的數據：代理、警報、資產、提取內容、會話和事務信息等；
• 與眾多第三方工具無縫集成，包括：Kibana、Logstash、Suricata、Stenographer、Wazuh、 CyberChef和Elasticsearch等；
• 高可擴展性。一套Securityonion方案最多可以支持1000個節點；
• 豐富的原生Web界面；
• 可以與Azure和亞馬遜AWS集成。

部署方式

SecurityOnion需要通過安裝向導來部署應用，具體需要參閱該產品的GitHub頁面以獲得詳細部署說明。

傳送門：

https://securityonionsolutions.com/software/

3、Arkime

Arkime是一款面向威脅搜索的開源數據包捕獲和搜索工具，擁有高可擴展性和強大的分析能力。

主要特點

• 形式豐富的系統連接圖；
• 可以創建自定義的SPI（會話概要信息）頁面；
• 基于Web的平臺化應用；
• 具有面向JSON和PCAP數據的API接口。

部署方式

從官網獲取適當的安裝包，并按所附的說明文檔安裝操作。

傳送門：https://arkime.com/

4、PRADAS

PRADS被動實時資產檢測系統有時也被拼寫為PRADAS，這是一種被動網絡流量分析工具，能夠快速識別各種網絡應用服務和活動主機。

主要特點

• 可以便捷地與專有或第三方IDS/IPS方案集成；
• 可以按需轉儲信息；
• 高級腳本。

部署方式

PRADS提供了詳細的安裝文檔，幫助用戶了解有關部署過程的詳細信息。

傳送門：

https://github.com/gamelinux/prads/

5、GRR

GRR是一款企業級遠程實時取證工具，可幫助用戶深入分析并了解各種網絡攻擊模式。這款開源解決方案還可以幫助用戶執行快速的安全事件分類，也可以支持任意數量的端點。

應用特點

• 能夠進行詳細的端點數據分析（比如CPU使用情況、內存和I/O分配等）；
• 可以通過SleuthKit分析原始文件系統訪問；
• 支持多平臺，與Windows、Linux和Mac OSX等主流系統兼容；
• 自動化調度自定義任務；
• 面向充分利用JSON的AngularJS Web UI和API；
• 支持Go、Python、PowerShell和服務器端庫。

部署方式

GRR部署是分兩個階段：服務器安裝和客戶端安裝：服務器可以從DEB、HEAD DEB、PIP包、源文件或從GRR Docker鏡像來安裝；而在客戶端，可視情形使用MSI包或老式MSI。

傳送門：

https://grr-doc.readthedocs.io/en/latest/#

6、Kansa

Kansa是一種模塊化的PowerShell事件響應框架，與PSv2和PSv3兼容。該解決方案讓用戶可以從多個主機收集數據、調查數據泄露，并創建安全基準。

應用特點

• 不同模塊均能夠作為獨立的實用程序來運行；
• 是高級腳本程序；
• 可以輕量級部署應用。

部署方式

了解有關設置和部署過程的詳細信息，可以參閱Kansa的GitHub文檔。

傳送門：

https://trustedsignal.blogspot.com/search/label/Kansa

7、pfSense

pfSense是一款基于Web的路由防火墻，擁有強大的數據包控制功能。該解決方案是流行的FreeBSD定制版本，可以通過硬件和云兩種方法部署應用。

應用特點

• 較完善的防火墻和路由功能；
• 能夠與Azure、AWS等公有云無縫集成。

部署方式

可使用Netgate Store的預加載包來安裝和部署pfSense。

傳送門：https://www.pfsense.org/

8、ZAProxy

OWASP的ZAProxy是一款優秀的開源漏洞掃描工具，擁有較強大的滲透測試功能。該產品應用于瀏覽器和Web應用程序之間（即充當中間設備），允許用戶執行漏洞掃描、模擬Web攻擊，并幫助查找源代碼中可能被利用的安全漏洞。

應用特點

• 基于Web的界面部署應用；
• 較全面的漏洞和滲透測試功能；
• ZAProxy與Linux、MacOS和Windows等主流系統環境兼容。

部署方式

可通過官方網站下載適當的安裝包，還提供了Docker鏡像安裝模式

傳送門：https://www.zaproxy.org/getting-started/

9、MozDef

MozDef是Mozilla推出的基于微服務的SIEM平臺。該方案在設計時受到了黑帽攻擊工具的啟發，可以幫助用戶自動化處理低級別的安全流程，并進行實時事件調查。

應用特點

• 能夠與Elastisearch等工具協同運行；
• 具有多個自動化層（比如云保護和防火墻等)；
• 可以進行實時協作；
• 由較豐富的安全事件度量指標。

部署方式

MozDef解決方案可以安裝在Docker容器中，也可以直接從運行CentOS 7的計算設備來啟動運行。

傳送門：https://mozdef.readthedocs.io/en/latest/overview.html

10、Sigma

Sigma是一種開放格式的簽名工具，可使日志文件注釋實現標準化和自動化。

應用特點

• 幫助安全團隊加強跨部門的協作；
• 具有功能強大的注釋轉換器；
• 可以與YARA和IOC協同運行。

部署方式

可以參閱Sigma的GitHub文檔，了解有關工具設置、部署和故障排除的詳細信息。

傳送門：https://github.com/SigmaHQ

參考鏈接：https://heimdalsecurity.com/blog/soar-tools/