Closed wcc526 closed 5 years ago
@wcc526 auditbeat的是我们最早准备使用的东西,其实也是利用了linux auditd,关于这个问题请移步: https://github.com/DianrongSecurity/AgentSmith-HIDS/issues/1
关于kafka鉴权的问题,我们实际使用会对接内部的配置中心完成鉴权等操作。
关于反弹shell等问题,其实检测思路和你们一致,只不过是检测位置的问题。
关于联动的问题,“syscall 和nids关联听起来很美,但如果机器数量多的话,实际数据量极大,不具备可行性。” 这里我们内部已经在做一些尝试和实验,实际上我们要关联的是:NIDS+HIDS+FW+CMDB+威胁情报,实际上在这里我们就差HIDS,因此我们相信这不会是"不具备可行性"
初步看了下代码 https://github.com/DianrongSecurity/AgentSmith-HIDS/blob/master/agent/src/main.rs#L84
目前agent大致逻辑是解析syscall直接发送到kafka
这个目前elastic已经有一个类似的项目叫auditbeat,实现的也是类似效果 https://www.elastic.co/guide/en/beats/auditbeat/current/auditbeat-installation.html
相关建议
参考链接