Linux 中安装的 8 个顶级防御安全工具

很多时候，我们会看到一些博客声称 Linux 无法被攻击者攻破。这是事实，因为服务器和台式机的 GNU/Linux 操作系统附带了许多有助于减轻攻击的工具。最大的问题是默认情况下不启用保护。您的网络安全很大程度上取决于配置的工具来检查漏洞、恶意软件和病毒，然后按设置进行预防。

在本博客中，我们将讨论在 Linux 中安装的 8 个顶级防御安全工具。防御安全可以定义为网络安全的一个子集，重点是在保护组织的同时预防、检测和响应攻击。这种保护范围从网络分析到设计旨在确保集成安全控制有效性的安全计划。

防御安全涉及的主要任务是：

系统配置同时优先考虑安全性，努力防止入侵
持续的系统监控以提防攻击。
减少违规影响并能够在违规后恢复系统的安全措施。
跟踪恶意软件、勒索软件和其他违规行为的来源
结合物理、数字和程序安全实践来降低风险

以下是在 Linux 中安装的 8 个顶级防御安全工具。

1.Elasticsearch SIEM

SIEM 是安全信息和事件管理的缩写。它用于收集主机和网络相关的日志和事件，然后将数据规范化以供进一步分析，如警报、报告、搜索等。SIEM 可以用作安全团队执行日常任务的中央仪表板。

SIEM 需要多个 Elastic Stack 组件，其中包括：

弹性端点安全：这是负责提供预防、检测和响应功能的端点安全平台。事件和安全警报直接发送到 Elasticsearch。
Beats：它们是安装在代理系统上的托运者，负责将安全事件和其他数据发送到Elasticsearch。
Elasticsearch：该工具提供实时、分布式存储、搜索和分析引擎。它对日志、指标和半结构化数据流进行索引。
Kibana：这提供了一个可视化 Elasticsearch 中存储的数据的平台。

借助 Elasticsearch SIEM，用户可以受益于：

整体可见性：它提供了一个集中位置来监控和分析环境中的不同操作。
自动威胁检测：该工具允许安全团队自动进行威胁检测并根据收集的数据实时采取行动。
风险管理：它使团队能够使用预构建的机器学习作业来获取威胁。

2. 网络厨师

Cyberchef 是一个简单的工具，提供直观的 Web 界面来执行所需的网络操作。操作范围从 XOR 和 Base64 等简单编码到 AES、DES 和 Blowfish 等更复杂的加密。您还可以创建二进制和十六进制转储、执行数据压缩和解压缩、计算哈希值和校验和、更改字符编码、IPv6 和 X.509 解析等。

该工具旨在帮助技术和非技术专业人员以复杂的方式操作数据，而无需任何深厚的技术背景知识。

Cyberchef 由以下 4 个主要领域组成：

输入框：位于右上角，可以输入要操作的文本或文件
输出框：位于右下角，打印流程的输出。
操作列表：位于最左侧，可帮助您找到CyberChef可以执行的所有操作。
配方区域：位于中间，您可以在此处拖动操作并指定所需的参数和选项。

3.GVM漏洞扫描器

漏洞扫描器在防范穿过防火墙的威胁时至关重要。他们会在感染或破坏您的网络之前发现它们并发出警报/减轻风险。最常见的漏洞扫描器是 QualysGuard、Nessus 等

OpenVAS 更名为 Greenbone Vulnerability Management（GVM），是常用的漏洞扫描器之一。这个功能齐全的漏洞扫描器作为大型 Greenbone 安全管理器（GSM）的组件之一存在。

该工具于 2009 年首次实施，由一家商业/开源公司开发多年，现已变得如此强大。以下是 GVM 的一些优点：

自 2009 年以来一直持续每日更新和超过 50,000 个漏洞测试
由企业软件安全公司支持
它能够执行多种类型的经过身份验证/未经身份验证的测试
它支持许多低级和高级互联网和工业协议
用户可以使用内部编程语言实施自定义测试

该工具可供 DevOps 和安全团队使用，最好是“蓝队”环境中的团队。渗透测试人员在处理错误赏金时也可以使用此工具。

要安装 Greenbone 漏洞管理，请点击以下链接：

如何安装 Greenbone 漏洞管理

4.Arkime全包抓包

您是否正在寻找安全基础设施来以标准 PCAP 格式存储和索引网络流量？那么 Arkime 完整数据包捕获就是您的最佳选择。然而，该工具并不是要取代入侵检测系统 (IDS)，而是提高可见性。

Arkime 有许多相关功能。其中一些包括：

安全性：它受到带有摘要密码或提供身份验证的 Web 服务器代理的 HTTPS 保护。 PCAP 保存在 Arkime 传感器上，只能通过 Web 界面或 API 获取。
可扩展性：它可以跨集群系统部署，以提供扩展和处理每秒大量流量的能力。
界面：它提供了一个Web界面，您可以从中执行浏览、搜索、分析和PCAP雕刻导出。所有数据包均以标准 PCAP 格式存储和导出。这允许用户在分析过程中使用他们最喜欢的 PCAP 摄取工具。
API：Exosed API 允许直接访问和下载 PCAP 和 JSON 格式的会话数据。

5.TheHive事件响应平台

这是一款免费的开源工具，旨在让 SOC、CSIRT、CERT 和任何信息安全从业人员能够轻松处理需要分析和立即修复的安全任务。该安全事件响应平台工具是 MISP 的最佳伴侣。它可以与一个或多个 MISP 实例同步，并从 MISP 事件开始调查。还可以将结果导出为 MISP 事件，以帮助团队检测您已处理的攻击并做出反应。 TheHive 还可以与 Cortex 一起使用，帮助安全分析师和研究人员分析无数的可观察数据。

与 TheHive 相关的主要功能是：

多租户：它具有多租户支持，允许：
- 使用孤立的多租户：这允许定义许多组织，但不允许它们共享数据
- 使用协作多租户：允许组织使用自定义的用户配置文件 (RBAC) 就特定案例、任务和可观察结果进行协作。
RBAC：这使组织能够对不同的配置文件拥有细化的权限。可用角色包括管理员、组织管理员、分析师、只读。
身份验证：它支持多种身份验证，包括 LDAP、Active Directory、本地帐户、基本身份验证、API 密钥、OAUTH2 和多重身份验证。
统计和仪表板：它配备了强大的统计模块，可帮助用户创建有意义的仪表板来推动他们的活动并支持您的预算请求。
集成：它支持多种集成，其中包括MISP、Cortex、Digital Shadows、Zerofox等。

6.马尔科姆

Malcom 是一种以数据包捕获 (PCAP) 文件或 Zeek 日志形式处理网络流量数据的工具。下图展示了 Malcolm 架构；

传感器或数据包捕获设备负责通过网络设备（例如交换机或路由器）上的 SPAN 端口或使用网络 TAP 设备进行网络监控。生成包含所需数据的 Zeek 日志和 Arkime 会话，然后安全地发送给 Malcolm。完整的 PCAP 文件保存在传感器设备本地，供以后分析。

然后，Malcom 通过映射和查找来解析网络数据，例如来自 MAC 地址中的组织唯一标识符 (docs/OUI) 的硬件制造商、GeoIP 映射等。然后，该数据以 OpenSearch 文档格式存储，可以通过 OpenSearch 仪表板或阿基梅。

下面是如何设置 Malcome 的说明：

7.Suricata IDS

Suricata 是一款开源入侵和威胁检测工具，以其高性能而闻名。许多公共和私人组织都使用该工具来保护资产。该工具由开放信息安全基金会 (OISF) 于 2009 年开发。它能够通过使用入侵防御 (IPS)、网络安全监控 (NSM) PCAP 处理和入侵检测 (IDS) 来识别和阻止攻击。

下面是 Splunk 商店中免费 Suricata 应用程序的图片，由 Stamus Networks 的 Eric Leblond 开发：

与 Suricata IDS 相关的炫酷功能包括：

集成：Suricata 可以与您的环境中众多受人尊敬的商业和开源解决方案集成。这些工具包括 Elasticsearch/Logstash、Kibana、Splunk
高性能：这就是 Suricata 的出名之处。它能够检查多千兆位流量，因为其引擎基于多线程、现代、干净且高度可扩展的代码库。
自动协议检测：自动检测任何端口上使用的协议，然后应用所需的检测和日志记录逻辑。这很大程度上有助于找到相关的恶意软件和 CnC 渠道
Lua脚本语言：可用于修改输出并创建复杂而详细的签名逻辑
行业标准输出：所有 JSON 事件和警报输出的主要日志记录输出称为“Eve”。这使得将 SUricata 与 Logstash 和其他类似工具集成变得很容易。

要安装 Suricata，请点击以下链接：

如何安装 Suricata IDS

8.Zeek入侵检测系统

Zeek 是一款开源网络流量分析器，许多组织都使用它来支持对可疑或恶意活动的调查。该工具还支持其他几种流量分析任务，包括性能测量和故障排除。

Zeek 用户从描述网络活动的大量日志中受益匪浅。日志包括网络上看到的每个连接的全面记录以及所有应用程序层记录。其中包括带有请求的 URI、DNS 请求、SSL 证书、MIME 类型等的 HTTP 会话。Zeek 将收集到的所有信息写入 JSON 日志文件中，这些信息可以由外部工具处理。用户还可以使用外部数据库或SIEM工具来存储、分析和可视化数据。