Проект Cyberprobe – это распределенная архитектура с открытым исходным кодом для мониторинга сетей в режиме реального времени.
Программное обеспечение состоит из двух компонентов:
- зонд, который собирает пакеты данных и передает их по сети в стандартных потоковых протоколах.
- монитор, который принимает потоковые пакеты, декодирует протоколы и интерпретирует информацию.
Эти компоненты могут использоваться вместе или по отдельности.
Для простой конфигурации их можно запускать на одном хосте, а в более сложных средах несколько датчиков могут подавать сигнал на один монитор.
Зонд cyberprobe имеет следующие особенности:
- Зонду может быть поручено собирать пакеты с интерфейса и пересылать любые из них, которые соответствуют настраиваемому списку адресов.
- Зонд может быть настроен на получение предупреждений Snort. В этой конфигурации, когда предупреждение получено от Snort, IP-адрес источника, связанный с предупреждением, динамически нацеливается на определенный период времени. В такой конфигурации система будет собирать данные от любого сетевого субъекта, который запускает правило Snort и, таким образом, определяется как потенциальный злоумышленник.
- Зонд может дополнительно запускать интерфейс управления, который позволяет удаленно запрашивать состояние и изменять конфигурацию. Это позволяет динамически изменять карту таргетинга и интегрироваться с другими системами.
- Зонд может быть настроен для доставки по одному из двух стандартных потоковых протоколов.
Инструмент мониторинга Cybermon имеет следующие особенности:
- Собирает пакеты, доставленные в потоке протоколов.
- Декодирует пакетные протоколы и вызывает события почти в реальном времени.
- Декодированная информация становится доступной для настраиваемой пользователем логики, чтобы определить, как обрабатываются декодированные данные. Используется простой язык конфигурации (LUA), и предоставляются примеры конфигураций для мониторинга объемов данных, отображения шестнадцатеричных данных или сохранения данных в файлах.
- Включены методы подделки пакетов, которые позволяют сбрасывать TCP-соединения и подделывать ответы DNS. Это может быть вызвано из вашего LUA, чтобы дать отпор атакам в вашей сети.
- Имеет механизм доставки для ElasticSearch, Google BigQuery и хранилища графиков Gaffer.
- Поддерживает протоколы IP, TCP, UDP, ICMP, HTTP и DNS, в настоящее время.
Программное обеспечение Cybermon включает некоторую поддержку STIX в качестве спецификации индикатора угрозы и может создавать оповещения о наличии угроз в сети.
Код предназначен для платформы Linux, хотя он достаточно универсален, чтобы быть применимым к другим UN * X-подобным платформам.
Скачать