Malcolm — это мощный, легко развертываемый набор инструментов для анализа сетевого трафика для получения артефактов полного захвата пакетов (файлов PCAP), журналов Zeek и предупреждений Suricata.

Malcolm — это мощный набор инструментов для анализа сетевого трафика, разработанный для следующих целей:

  • Простота в использовании — Malcolm принимает данные о сетевом трафике в виде файлов полного захвата пакетов (PCAP) и журналов Zeek (ранее Bro). Эти артефакты можно загружать через простой интерфейс на основе браузера или записывать в режиме реального времени и пересылать Малкольму с помощью облегченных программ пересылки. В любом случае данные автоматически нормализуются, обогащаются и коррелируются для анализа.
  • Мощный анализ трафика — Наблюдение за сетевыми коммуникациями обеспечивается с помощью двух интуитивно понятных интерфейсов: OpenSearch Dashboard, гибкий подключаемый модуль визуализации данных с десятками готовых панелей мониторинга, обеспечивающих краткий обзор сетевых протоколов; и Arkime (ранее Moloch), мощный инструмент для поиска и идентификации сетевых сеансов, содержащих предполагаемые инциденты безопасности.
  • Упрощенное развертывание — Malcolm работает как кластер контейнеров Docker — изолированных изолированных программных сред, каждая из которых выполняет определенную функцию системы. Эта модель развертывания на основе Docker в сочетании с несколькими простыми сценариями для настройки и управления временем выполнения делает Malcolm подходящим для быстрого развертывания на различных платформах и в различных вариантах использования; будь то долгосрочное развертывание на сервере Linux в центре управления безопасностью (SOC) или реагирование на инциденты на Macbook для индивидуального взаимодействия.
  • Безопасная связь — Все коммуникации с Malcolm, как через пользовательский интерфейс, так и через удаленные серверы пересылки журналов, защищены стандартными отраслевыми протоколами шифрования.
  • Разрешающая лицензия — Malcolm состоит из нескольких широко используемых инструментов с открытым исходным кодом, что делает его привлекательной альтернативой решениям по обеспечению безопасности, требующим платных лицензий.
  • Расширение видимости систем управления — Хотя Malcolm отлично подходит для анализа сетевого трафика общего назначения, его создатели видят особую потребность сообщества в инструментах, обеспечивающих понимание протоколов, используемых в средах промышленных систем управления (ICS). Текущая разработка Malcolm будет направлена ​​на предоставление дополнительных синтаксических анализаторов для распространенных протоколов ICS.

Хотя все инструменты с открытым исходным кодом, входящие в состав Malcolm, уже доступны и широко используются, Malcolm обеспечивает структуру взаимосвязи, которая делает его больше, чем сумма его частей.

Короче говоря, Malcolm предоставляет легко развертываемый набор инструментов сетевого анализа для полных файлов PCAP и журналов Zeek. Хотя для сборки Malcolm требуется доступ в Интернет, во время выполнения доступ в Интернет не требуется.

https://github.com/idaholab/Malcolm

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x
Enable Notifications OK No thanks