Το Malcolm είναι μια ισχυρή σουίτα εργαλείων ανάλυσης δικτύου, σχεδιασμένη με γνώμονα την ασφάλεια των δικτύων.
Αν και όλα τα εργαλεία ανοιχτού κώδικα που αποτελούν το Malcolm είναι ήδη διαθέσιμα και σε γενική χρήση, παρέχει ένα πλαίσιο διασύνδεσης που το καθιστά μεγαλύτερο από το άθροισμα των μερών του. Ενώ υπάρχουν πολλές άλλες λύσεις για ανάλυση δικτύου, για όλες τις διανομές Linux όπως το Security Onion έως προϊόντα με άδεια όπως το Splunk Enterprise Security, οι δημιουργοί της Malcolm αισθάνονται αισιόδοξοι πως ο ισχυρός συνδυασμός εργαλείων του, γεμίζουν ένα κενό στον χώρο ασφαλείας των δικτύων που θα καταστήσει την ανάλυση της κίνησης του δικτύου προσβάσιμη σε πολλούς τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα, καθώς και σε μεμονωμένους χρήστες.
Χαρακτηριστικά
- Εύκολο στη χρήση– Το Malcolm λαμβάνει πακέτα (PCAP) και αρχεία καταγραφής Zeek (πρώην Bro). Αυτά τα αντικείμενα μπορούν να μεταφορτωθούν μέσω μιας απλής διεπαφής που βασίζεται στο πρόγραμμα περιήγησης ή να καταγραφούν ζωντανά και να προωθηθούν στο. Και στις δύο περιπτώσεις, τα δεδομένα κανονικοποιούνται αυτόματα, εμπλουτίζονται και συσχετίζονται για ανάλυση.
- Δυνατός αναλυτής δικτύου– Η ορατότητα στις επικοινωνίες δικτύου παρέχεται μέσω δύο διαισθητικών διεπαφών: το Kibana, ένα ευέλικτο plugin οπτικοποίησης δεδομένων με δεκάδες προκαθορισμένους πίνακες ελέγχου που παρέχουν μια γρήγορη επισκόπηση των πρωτοκόλλων δικτύου. Και το Moloch, ένα ισχυρό εργαλείο για την εύρεση και τον εντοπισμό των sessions του δικτύου που περιλαμβάνουν ύποπτα συμβάντα ασφαλείας.
- Βελτιωμένο στην ανάπτυξη– Το Malcolm λειτουργεί ως σύμπλεγμα του Docker, όπου εξυπηρετεί μια ειδική λειτουργία του συστήματος. Αυτό το μοντέλο ανάπτυξης με βάση το Docker, σε συνδυασμό με μερικά απλά scripts για ρύθμιση και διαχείριση χρόνου εκτέλεσης, καθιστά το Malcolm κατάλληλο για γρήγορη ανάπτυξη σε διάφορες πλατφόρμες και περιπτώσεις χρήσης, είτε πρόκειται για μακροπρόθεσμη ανάπτυξη σε διακομιστή Linux ένα κέντρο λειτουργιών ασφαλείας (SOC) ή για απάντηση συμβάντων σε Macbook για μεμονωμένη χρήση.
- Ασφαλής στις επικοινωνίες – Όλες οι επικοινωνίες με το Malcolm, τόσο από το interface του χρήστη όσο και από απομακρυσμένους forwarders καταγραφής, διασφαλίζονται με πρωτόκολλα κρυπτογράφησης βιομηχανικού προτύπου.
- Ανοιχτού κώδικα πρόγραμμα – Το Malcolm αποτελείται από πολλά ευρέως γνωστά εργαλεία ανοιχτού κώδικα, καθιστώντας μια ελκυστική εναλλακτική επιλογή για λύσεις ασφαλείας που απαιτούν άδειες επί πληρωμή.
- Ορατότητα του συστήματος ελέγχου– Ενώ το Malcolm είναι ιδανικό για ανάλυση κίνησης δικτύου γενικού σκοπού, οι δημιουργοί του βλέπουν μια ιδιαίτερη ανάγκη στην κοινότητα για εργαλεία που παρέχουν πληροφορίες σχετικά με τα πρωτόκολλα που χρησιμοποιούνται σε περιβάλλοντα βιομηχανικών συστημάτων ελέγχου (ICS). Η συνεχής ανάπτυξη του Malcolm στοχεύει στην παροχή πρόσθετων αναλυτών για κοινά πρωτόκολλα ICS.
Εν ολίγοις, το Malcolm παρέχει μια εύχρηστη σουίτα εργαλείων ανάλυσης δικτύου για πλήρη συλλογή πακέτων (αρχεία PCAP) και αρχεία καταγραφής Zeek. Ενώ απαιτείται πρόσβαση στο διαδίκτυο για τη δημιουργία του, δεν απαιτείται κατά την εκτέλεσή του.
Στιγμιότυπα εφαρμογής
Οδηγό εγκατάστασης του προγράμματος καθώς και λειτουργίες χρήσης, θα βρείτε εδώ