2023版云安全開源工具

沈雅

有數據顯示，83 %的企業和組織通過業務上云，節省成本、提高效能，但云安全問題緊跟而來。以下介紹的云安全類開源工具適用于SaaS、PaaS、IaaS等各類云服務模式。

Wazuh

Wazuh是一個整合了SIEM、HIDS及XDR的安全防護平臺。秉承開源精神，Wazuh社區發展十分迅速，用戶可在社區獲取技術支持、提交建議和反饋。據稱Wazuh的企業用戶超20萬家，其中包括一些財富100強的企業。除了支持本地部署，Wazuh也適用于云環境，基礎架構靈活，可擴展性強。

Osquery

Osquery是一個開源的針對操作系統的監控與分析工具，支持像SQL語句一樣查詢系統的各項指標，例如正在運行的進程、打開的網絡連接、硬件事件和瀏覽器插件等，適用于Windows、MacOS、Linux、FreeBSD，幫助提高系統性能。

Osquery由Facebook于2014年創建并投入使用，許多工程師表示從中受益。Osquery日志可以捕獲到未知的惡意軟件，但需要另外部署，并借助人力作威脅處置。

GoAudit

這是一款包含內核源碼和監控系統調用兩部分的Linux審計系統。監控系統調用是負責審計寫入和記錄的用戶空間保護進程。該工具發布于2016年，多行日志記錄功能和JSON Blob分析功能突出。因此，用戶可通過Netlink直接調用內核，并根據具體業務實現威脅過濾。

Grapl

Grapl發布于2022年3月，是一個具備安全檢測、事件響應和取證的圖形分析平臺，擅長收集安全類日志并將其轉換為子圖，再將子圖合并到Master Graph中，還原整個環境中的攻擊動作。因此Grapl能夠根據攻擊者意圖作出相應的防御，類似真人防守。一旦有可疑模式出現，Grapl即啟動分析器并展開調查。

OSSEC

OSSEC是發布于2004年的安全檢測和監控平臺，也被用作日志分析、Web服務器和防火墻分析等，能夠實時監控SIEM平臺的完整性，適配Microsoft windows、Linux、Open BSD、FreeBSD、Solaris等環境。OSSEC有一個集中管理器，負責監測和接收來自agent的信息。它還可以在對數據庫、日志、系統審計、事件等執行完整性檢查后存儲文件。

Suricata

Suricata兼具入侵檢測、入侵防御和網絡監控功能。2009年發布時就有流量監控功能，目前能夠做到以10 GB的速度對大流量的監控。另外它還支持文件提取，以及在AWS中配置裸機和虛擬機服務器，實現流量監控功能并發現高級威脅。

Zeek/Bro

和Suricata類似，這也是一款流量監控工具，能夠發現異常行為和可疑活動。與傳統的基于規則的IDS有所不同，Zeek支持用戶查看事前、事中的攻擊活動，并具備一定的智能交互功能。Zeek的程序語言可根據用戶需求定制，因此能夠通過一些運算符（如AND、OR、NOT等）構建復雜的邏輯條件。

Panther

Panther是一個由Airbnb開源的自動化解決方案，主要功能是彌補傳統SIEM的不足，能夠設置匹配用戶實際的安全檢測環境和規模，實現集中檢測。其每一次檢測都是透明的，既確定了檢測規則又能減少誤報。

Panther能夠自動修復錯誤配置，并且允許用戶存儲一些不希望被損壞的數據。Panther一直使用自己的AWS云和AWS Cloud Formation進行部署，能夠確保數據由用戶本身控制。

Kali Linux

Kali Linux是一個提供網絡安全實用程序和滲透測試工具的開源系統。這是少數專注于黑客攻擊的Linux發行版。在Kali Linux上，用戶可運行Linux可執行文件，該文件也可在Windows 10中執行。Kali Linux支持在大部分設備上安裝，如RaspberryPi、Odroid、HP、SamsungChromebook和Beaglebone。

PacBot

PacBot是一款合規監測、云安全自動化工具，即：策略即代碼機器人（Policy as Code Bot，PacBot）根據策略對目標資源進行掃描和評估。它包含自動修復框架，能夠通過一些預定義的行為實現對違規行為的自動響應和處置。該工具還具備可視化功能，便于用戶查看合規情況，并簡化策略違規的分析與處置工作。