e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

企业安全建设之主机级资产管理与分析

2017/6/18    来源:freebuf    作者:兜哥      
关键字:企业安全  资产管理  
通常认为企业安全视角的资产包括网络级、应用级、主机级。本文重点讲解如何利用开源软件获取主机级资产以及入侵检测和主机审计。网络级、应用级请看下文。
    前言
 
    通常认为企业安全视角的资产包括网络级、应用级、主机级。本文重点讲解如何利用开源软件获取主机级资产以及入侵检测和主机审计。网络级、应用级请看下文。
 
    企业安全视角的主机级资产
 
 安全视角的IT资产
 
    主机级资产重点关注的是进程、网络连接、账户等主机层面或者说OS级别的信息。
 
    需求
 
    我认为搜集主机级资产主要是达到两个目的:
 
    事中的入侵检测
 
    事后的审计与事故排查
 
    数据搜集
 
    主机级数据的搜集可以使用开源软件osquery。osquery是Facebook开源的一款基于SQL的操作系统检测和监控框架,目前它只实现了本地的数据搜集以及SQL交互式查询,没有实现数据的统一上传和集中存储分析,所以我们可以基于它来开发。
 
    安装
 
    osquery支持操作系统较为丰富,常见的linux、window系统都支持。安装包下载地址为:https://osquery.io/downloads/
 
    以centos6为例:
 
安全视角的IT资产
 
    配置
 
    osquery的配置非常简单,使用默认配置文件即可
 
安全视角的IT资产
 
    启动
 
安全视角的IT资产
 
    数据查询
 
    osquery的数据查询使用的是交互式SQL查询,搜集上的数据已经结构化存储在本地的数据库中。
 
安全视角的IT资产
 
    几个比较典型的表为:
 
    /etc/services
 

安全视角的IT资产

 
    当前登录用户
 
企业安全建设之主机级资产管理与分析
 
    本地用户列表
 
企业安全建设之主机级资产管理与分析
 
    具有网络连接的进程列表
 
企业安全建设之主机级资产管理与分析
 
    进程列表
 
企业安全建设之主机级资产管理与分析
 
    更多信息请参考:https://osquery.io/docs/tables/
 

责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐