?有數據顯示，83%的企業和組織通過“業務上云”，節省成本、提高效能，但云安全問題緊跟而來。本期推薦的云安全類開源工具適用于SaaS、PaaS、IaaS等各類云服務模式。

（本文推薦工具僅代表原作者觀點）

1. Wazuh

Wazuh是一個整合了SIEM、HIDS及XDR的安全防護平臺。秉承開源精神，Wazuh社區發展十分迅速，用戶可在社區獲取技術支持、提交建議和反饋。據稱Wazuh的企業用戶超20萬家，其中包括一些財富 100 強的企業。除了支持本地部署，Wazuh也適用于云環境，基礎架構靈活，可擴展性強。

傳送門：https://wazuh.com/

2. Osquery

Osquery是一個開源的針對操作系統的監控與分析工具，支持像SQL語句一樣查詢系統的各項指標，例如正在運行的進程、打開的網絡連接、硬件事件、瀏覽器插件等，適用于Windows、MacOS、Linux、FreeBSD，幫助提高系統性能。

Osquery由 Facebook 于2014年創建并投入使用，工程師表示從中受益。Osquery 日志可以捕獲到未知的惡意軟件，但需要另外部署，并借助人力作威脅處置。

傳送門：https://github.com/osquery/osquery

3. GoAudit

這是一款包含內核源碼和監控系統調用兩部分的Linux 審計系統。監控系統調用是負責審計寫入和記錄的用戶空間保護進程。該工具發布于2016年，多行日志記錄功能和 JSON Blob分析功能突出。因此，用戶可通過 Netlink 直接調用內核，并根據具體業務實現威脅過濾。

傳送門：https://github.com/slackhq/go-audit

4. Grapl

Grapl發布于2022年3月，是一個具備安全檢測、事件響應和取證的圖形分析平臺，擅長收集安全類日志并將其轉換為子圖，再將子圖合并到 Master Graph 中，還原整個環境中的攻擊動作。因此Grapl能夠根據攻擊者意圖作出相應的防御，類似真人防守。一旦有可疑模式出現，Grapl即啟動分析器并展開調查。

傳送門：https://github.com/grapl-security/grapl

5. OSSEC

OSSEC是發布于2004年的安全檢測和監控平臺，也被用作日志分析、web服務器、防火墻分析等，能夠實時監控SIEM平臺的完整性，適配Microsoft windows、Linux、OpenBSD、FreeBSD、Solaris等環境。OSSEC有一個集中管理器，負責監測和接收來自agent的信息。它還可以在對數據庫、日志、系統審計、事件等執行完整性檢查后存儲文件。

傳送門：https://github.com/ossec/ossec-hids

6. Suricata

Suricata兼具入侵檢測、入侵防御和網絡監控功能。2009年發布時就有流量監控功能，目前能夠做到以10G的速度做到對大流量的監控。另外它還支持文件提取，以及在AWS中配置裸機和虛擬機服務器，實現流量監控功能并發現高級威脅。

傳送門：https://github.com/OISF/suricata

7. Zeek/Bro

和Suricata類似，這也是一款流量監控工具，能夠發現異常行為和可疑活動，因此它與傳統的基于規則的IDS有所不同。Zeek支持用戶查看事前、事中的攻擊活動，并具備一定的智能交互功能。Zeek的程序語言可根據用戶需求定制，因此能夠通過一些運算符（如 AND、OR、NOT 等）構建復雜的邏輯條件。

傳送門：https://zeek.org/

8. Panther

Panther是一個由Airbnb開源的自動化解決方案，主要功能是彌補傳統SIEM的不足，能夠設置匹配用戶實際的安全檢測環境和規模，實現集中檢測。其每一次檢測都是透明的，既確定了檢測規則又能減少誤報。

Panther能夠自動修復錯誤配置，并且允許用戶存儲一些不希望被損壞的數據。Panther 一直使用自己的 AWS 云和 AWS CloudFormation 進行部署，能夠確保數據由用戶本身控制。

傳送門：https://github.com/panther-labs/panther-analysis

9. Kali Linux

Kali Linux是一個提供網絡安全實用程序和滲透測試工具的開源系統。這是少數專注于黑客攻擊的 Linux 發行版。在Kali Linux上，用戶可運行 Linux 可執行文件，該文件也可在 Windows 10 中執行。Kali Linux支持在大部分設備上安裝，如 Raspberry Pi、Odroid、HP 和 Samsung Chromebook、Beaglebone 等。

傳送門：https://www.kali.org

10. PacBot

PacBot是一款合規監測、云安全自動化工具。PacBot（Policy as Code Bot——策略即代碼機器人）根據策略對目標資源進行掃描和評估。它包含自動修復框架，能夠通過一些預定義的行為實現對違規行為的自動響應和處置。該工具還具備可視化功能，便于用戶查看合規情況，并簡化策略違規的分析與處置工作。

傳送門：https://github.com/tmobile/pacbot

參考資料：https://cybersecuritynews.com/opensource-cloud-security-tools/