开源软件SysFlow

围观次数:508 views

Open Source在安全领域已经非常普及,虽然我没有软件开发背景,但是也很喜欢在实际安全工作中使用一些小工具,提升生产力。这里也把看到的一个小开源项目分享给大家!

两周前,刚好在Think2020中国区论坛中,听到高老师介绍SysFlow项目的情况。赶紧去网站看了一下这个开源项目。在 FloCon 2020 Conference会议上,IBM 发布open-sourcing of SysFlow。会议材料link

SysFlow: Scalable System Telemetry for Improved Security Analytics

https://www.ibm.com/blogs/research/2020/01/sysflow/
SysFlow
Figure 1: APT attack kill chain and visual representation of entities and activities captured by SysFlow

SysFlow设计一套新的遥测格式系统和工具套件,用于监控系统行为及实现可扩展的安全性、合规性和性能分析。

SysFlow将系统活动的表示编码为记录应用程序如何与其环境交互的紧凑格式。它将进程行为与网络和文件访问活动关联起来,为分析提供了更丰富的上下文。这一额外环境有助于更深入地了解主机和容器的工作负载,并支持一系列云工作负载保护使用场景,包括容器运行时完整性保护、威胁搜索和取证。虽然系统事件信息的测绘并不新鲜,但现有监控平台多以系统调用的粒度收集数据,从而产生大量数据,将分析限制为简单且基于规则的方法。

SysFlow
Figure 2: SysFlow telemetry stack architectural overview

图2显示了SysFlow遥测管道概述。数据处理管道提供一组可重复使用的组件和API,可轻松部署用于云工作负载监控的遥测探头,以及将SysFlow记录导出到馈送到安全分析作业的对象存储服务。具体来说,分析框架提供了一个可扩展的策略引擎,该引擎接收以声明性输入语言描述的可定制安全策略,从而提供了用于定义根据SysFlow记录进行检查的高阶逻辑表达式的工具。

这使得安全人员可以轻松定义可部署在可扩展的开箱即用分析工具链,启用安全和合规性策略,同时支持用于实施自定义分析算法的可扩展编程API。因此,安全分析师可以将他们的精力重新定向到高价值的用例交付上,利用数据处理框架从而缩短部署和混合云规模下新的分析所需的时间。

SysFlow将数据采集率的数量级大幅降低,并将事件提升为支持取证应用程序和更全面的分析方法的行为。此外,SysFlow的开放序列化格式和库支持与开源框架(如Spark、SCRICIT-LINE)和集成自定义分析微服务。

SysFlow是一种紧凑的开放数据格式,它将系统活动的表示提升为以流为中心的对象关系映射,记录应用程序如何与其环境交互-类似于NetFlow汇总网络通信的方式。但是,与捕获网络访问的NetFlow不同,SysFlow将网络行为与进程和文件访问信息联系起来,为分析提供了更丰富的上下文。

这一额外场景有助于对攻击杀伤链进行更深入分析,从而产生比传统基于网络的分析方法更低的误报率和更高检测率。SysFlow支持过程控制流、文件交互和网络通信的单事件和体积流标识。与现有系统测绘源相比,新的遥测格式极大地降低存储需求,从而实现丰富的分析功能、流程级别源跟踪以及针对威胁的追踪和取证所需的长期归档数据。

To learn more, file bug reports, or contribute to SysFlow, check:
Github: github.com/sysflow-telemetry
Documentation: sysflow.readthedocs.io
Docker Hub: hub.docker.com/u/sysflowtelemetry
Issue tracker: github.com/sysflow-telemetry/sf-docs/issues
会议PDF link:https://static.sched.com/hosted_files/flocon2020/69/SysFlow%20Araujo%3B%20Taylor.pdf

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助