Malcolm – это мощный набор инструментов для анализа сетевого трафика, разработанный с учетом следующих целей:
- Простота в использовании – Malcolm принимает данные сетевого трафика в виде файлов полного захвата пакетов (PCAP) и журналов Zeek (ранее Bro). Эти артефакты могут быть загружены через простой интерфейс на основе браузера или получены в реальном времени и отправлены в Malcolm с помощью облегченных серверов пересылки. В любом случае данные автоматически нормализуются, обогащаются и соотносятся для анализа.
- Мощный анализ трафика. Доступ к сетевым коммуникациям обеспечивается через два интуитивно понятных интерфейса: Kibana – гибкий плагин визуализации данных с десятками встроенных панелей мониторинга, обеспечивающий краткий обзор сетевых протоколов; и Moloch, мощный инструмент для поиска и идентификации сетевых сеансов, включающих подозреваемые инциденты безопасности.
- Оптимизированное развертывание – Malcolm работает как кластер контейнеров Docker, изолированных песочниц, каждый из которых выполняет определенную функцию системы. Эта модель развертывания на основе Docker в сочетании с несколькими простыми скриптами для настройки и управления во время выполнения делает Malcolm подходящим для быстрого развертывания на различных платформах и в случаях использования, будь то для долгосрочного развертывания на сервере Linux в центр операций безопасности (SOC) или для реагирования на инциденты на Macbook для индивидуального участия.
- Безопасная связь. Все коммуникации с Malcolm, как из пользовательского интерфейса, так и из удаленных серверов пересылки журналов, защищены стандартными протоколами шифрования.
- Лицензия – Malcolm состоит из нескольких широко используемых инструментов с открытым исходным кодом, что делает его привлекательной альтернативой решениям безопасности, требующим платных лицензий.
- Расширение видимости систем управления. Хотя Malcolm отлично подходит для анализа сетевого трафика общего назначения, его создатели видят в сообществе особую потребность в инструментах, обеспечивающих понимание протоколов, используемых в средах промышленных систем управления (ICS). Текущая разработка Malcolm будет направлена на предоставление дополнительных анализаторов для общих протоколов ICS.
Несмотря на то, что все инструменты с открытым исходным кодом, которые составляют Malcolm, уже доступны и широко используются, он обеспечивает основу для взаимосвязи, которая делает его больше, чем сумма его частей.
И хотя существует множество других решений для анализа сетевого трафика, начиная от полных дистрибутивов Linux, таких как Security Onion, и заканчивая лицензионными продуктами, такими как Splunk Enterprise Security, создатели Malcolm считают, что простота развертывания и надежная комбинация инструментов заполняют пробел в пространстве безопасности сети.
Это сделает анализ сетевого трафика доступным для многих как в государственном и частном секторах, так и для отдельных энтузиастов.
Короче говоря, Malcolm предоставляет легко развертываемый набор инструментов сетевого анализа для захвата пакетов (файлы PCAP) и журналов Zeek.
Хотя для его создания необходим доступ в Интернет, он не требуется во время выполнения.
Установка && Использование
