Malcolm — это мощный, легко развертываемый набор инструментов для анализа сетевого трафика для получения артефактов полного захвата пакетов (файлов PCAP), журналов Zeek и предупреждений Suricata.
Malcolm — это мощный набор инструментов для анализа сетевого трафика, разработанный для следующих целей:
- Простота в использовании — Malcolm принимает данные о сетевом трафике в виде файлов полного захвата пакетов (PCAP) и журналов Zeek (ранее Bro). Эти артефакты можно загружать через простой интерфейс на основе браузера или записывать в режиме реального времени и пересылать Малкольму с помощью облегченных программ пересылки. В любом случае данные автоматически нормализуются, обогащаются и коррелируются для анализа.
- Мощный анализ трафика — Наблюдение за сетевыми коммуникациями обеспечивается с помощью двух интуитивно понятных интерфейсов: OpenSearch Dashboard, гибкий подключаемый модуль визуализации данных с десятками готовых панелей мониторинга, обеспечивающих краткий обзор сетевых протоколов; и Arkime (ранее Moloch), мощный инструмент для поиска и идентификации сетевых сеансов, содержащих предполагаемые инциденты безопасности.
- Упрощенное развертывание — Malcolm работает как кластер контейнеров Docker — изолированных изолированных программных сред, каждая из которых выполняет определенную функцию системы. Эта модель развертывания на основе Docker в сочетании с несколькими простыми сценариями для настройки и управления временем выполнения делает Malcolm подходящим для быстрого развертывания на различных платформах и в различных вариантах использования; будь то долгосрочное развертывание на сервере Linux в центре управления безопасностью (SOC) или реагирование на инциденты на Macbook для индивидуального взаимодействия.
- Безопасная связь — Все коммуникации с Malcolm, как через пользовательский интерфейс, так и через удаленные серверы пересылки журналов, защищены стандартными отраслевыми протоколами шифрования.
- Разрешающая лицензия — Malcolm состоит из нескольких широко используемых инструментов с открытым исходным кодом, что делает его привлекательной альтернативой решениям по обеспечению безопасности, требующим платных лицензий.
- Расширение видимости систем управления — Хотя Malcolm отлично подходит для анализа сетевого трафика общего назначения, его создатели видят особую потребность сообщества в инструментах, обеспечивающих понимание протоколов, используемых в средах промышленных систем управления (ICS). Текущая разработка Malcolm будет направлена на предоставление дополнительных синтаксических анализаторов для распространенных протоколов ICS.
Хотя все инструменты с открытым исходным кодом, входящие в состав Malcolm, уже доступны и широко используются, Malcolm обеспечивает структуру взаимосвязи, которая делает его больше, чем сумма его частей.
Короче говоря, Malcolm предоставляет легко развертываемый набор инструментов сетевого анализа для полных файлов PCAP и журналов Zeek. Хотя для сборки Malcolm требуется доступ в Интернет, во время выполнения доступ в Интернет не требуется.
https://github.com/idaholab/Malcolm