安全分析与监控

目的与范围

本节涵盖了用于安全分析、监控和威胁情报的工具和资源。它包括用于入侵检测、系统审计、漏洞评估和流量分析的软件。这些工具有助于识别安全威胁、监控系统是否存在可疑活动，并收集有关潜在攻击者的情报。

有关系统安全基础知识，请参阅系统安全。有关网络安全工具的信息，请参阅网络安全。有关 Web 安全测试的信息，请参阅 Web 安全。

安全分析与监控概述

安全分析和监控是全面网络安全策略的关键组成部分。它们协同工作，为系统和网络中的潜在威胁、正在进行的攻击和安全漏洞提供可见性。

安全分析与监控工作流程

来源：README.md278-296 README.md301-321 README.md596-610

安全分析工具

安全分析工具有助于识别系统和网络中的漏洞、错误配置和潜在的安全弱点。它们提供的见解使组织能够在安全问题被利用之前主动解决。

系统审计工具

这些工具会分析系统配置、设置和文件，以识别安全问题和合规性违规。

工具	描述	类型
ossec	基于主机的入侵检测系统，具有文件完整性监控功能	HIDS
auditd	Linux 内核的审计子系统，用于跟踪安全相关信息	Auditing
Tiger	安全审计和入侵检测工具	Auditing
Lynis	适用于 Linux、macOS 和 Unix 系操作系统的安全审计工具	Auditing
LinEnum	用于 Linux 枚举和权限提升检查的脚本	枚举
Rkhunter	适用于 Linux 系统的 Rootkit 扫描器	恶意软件检测
PE-sieve	用于检测 Windows 系统上运行的恶意软件的工具	恶意软件检测
PEASS	适用于多个平台的权限提升评估脚本套件	权限提升

来源：README.md278-296

系统加固框架

这些框架提供自动化方法来将安全最佳实践应用于系统。

框架	描述
SELinux	Linux 内核中的强制访问控制系统
AppArmor	用于应用程序隔离的 Linux 内核安全模块
grapheneX	自动化系统加固框架
DevSec Hardening Framework	用于自动化服务器加固的工具集

来源：README.md278-284

诊断和调试工具

这些工具通过提供对系统操作的可见性来帮助分析和调试与安全相关的问题。

工具	描述
strace	跟踪系统调用和信号的诊断实用程序
DTrace	用于性能分析和故障排除的动态跟踪框架
ltrace	库调用跟踪器
perf-tools	基于 Linux perf_events 的性能分析工具
bpftrace	用于 Linux eBPF 的高级跟踪语言
sysdig	具有容器支持的系统探索和故障排除工具
Valgrind	用于构建分析工具的动态分析框架

来源：README.md300-309

安全监控工具

安全监控工具提供对系统活动、网络流量和潜在安全事件的持续可见性。它们有助于实时检测和响应安全事件。

安全监控工具的类别

来源：README.md278-296 README.md326-330 README.md340-342

入侵检测系统

入侵检测系统（IDS）监控系统或网络是否存在恶意活动或策略违规。

工具	描述	类型
OSSEC	基于主机的入侵检测系统，具有文件完整性监控、日志分析和 Rootkit 检测功能	HIDS
Security Onion	用于 IDS、安全监控和日志管理的 Linux 发行版	网络安全监控
maltrail	恶意流量检测系统	流量分析
security_monkey	监控云资产和随时间推移的变化	云安全

来源：README.md288-289 README.md724 README.md760-762

日志分析工具

日志分析工具可帮助解析、分析和可视化日志数据，以识别安全事件和异常。

工具	描述
angle-grinder	用于切分和处理日志文件的命令行工具
lnav	带有搜索和自动刷新功能的日志文件导航器
GoAccess	实时 Web 日志分析器和交互式查看器
ngxtop	nginx 服务器的实时指标

来源：README.md326-330

网络流量分析

网络流量分析工具可帮助监控和分析网络通信，以检测可疑活动。

工具	描述	类型
tcpdump	命令行数据包分析器	数据包捕获
tshark	Wireshark 的命令行版本	数据包分析
Termshark	tshark 的终端 UI	数据包分析
ngrep	网络 grep 工具	模式匹配
netsniff-ng	网络操作的瑞士军刀	数据包捕获
sockdump	Unix 域套接字流量转储工具	套接字监控
stenographer	用于快速数据包缓冲的数据包捕获解决方案	数据包捕获
tcpterm	可视化数据包的 TUI 工具	数据包可视化

来源：README.md182-190

系统监控工具

系统监控工具跟踪系统性能、资源使用情况和进程，以识别异常。

工具	描述
glances	跨平台系统监控工具
htop	Unix 系统的交互式进程查看器
bashtop	用 Bash 编写的资源监视器
nmon	Linux 性能监控工具
atop	Linux 的 ASCII 性能监视器
lsof	列出打开的文件以及打开这些文件的进程
OSQuery	SQL 驱动的操作系统检测和分析

来源：README.md310-318 README.md340-342

威胁情报平台

威胁情报平台有助于收集、分析和应用有关潜在威胁和攻击者的信息。

威胁情报生态系统

来源：README.md596-636 README.md657-666

大规模扫描器和搜索引擎

这些平台扫描互联网，以查找暴露的服务、漏洞和错误配置。

平台	描述
Censys	用于查找互联网连接设备的搜索引擎
Shodan	用于查找互联网连接设备的搜索引擎
Shodan 2000	用于查找 Shodan 随机生成数据的工具
GreyNoise	提供对互联网范围扫描和攻击活动的可见性
ZoomEye	网络空间搜索引擎
FOFA	网络空间搜索引擎
onyphe	面向开源和网络威胁情报的搜索引擎
IntelligenceX	搜索引擎和数据存档
binaryedge	互联网资产搜索引擎和威胁情报平台
Spyse	互联网资产注册中心

来源：README.md596-610

漏洞和漏洞利用数据库

这些数据库提供了有关已知漏洞和漏洞利用的信息。

数据库	描述
CVE Mitre	公开已知的网络安全漏洞列表
CVE Details	CVE 安全漏洞高级数据库
Exploit DB	公开的漏洞利用和相应易受攻击软件的存档
0day.today	漏洞利用市场
sploitus	漏洞利用和工具数据库
cxsecurity	免费漏洞数据库
Vulncode-DB	漏洞及其源代码数据库
cveapi	CVE 数据的免费 API

来源：README.md657-666

恶意软件分析与威胁检测

用于分析恶意软件和检测威胁的工具。

工具	描述
VirusTotal	分析恶意软件文件和 URL 的服务
PE-sieve	检测系统中运行的恶意软件的工具
Rkhunter	Rootkit、后门和本地漏洞利用扫描器
abuse.ch	打击恶意软件的项目集合
malc0de	恶意软件搜索引擎
Cybercrime Tracker	跟踪网络犯罪使用的恶意软件

来源： README.md292-294 README.md557 README.md626-628

安全信息资源

这些资源提供了有关安全分析和监控的指导、情报和教育内容。

安全情报来源

来源	描述
abuse.ch	打击恶意软件和僵尸网络的项目
InQuest Labs	面向安全研究人员的开放、交互式、API驱动的数据门户
Rapid7 Labs 开放数据	来自 Project Sonar 的数据集
OSINT 框架	免费 OSINT 资源的集合
maltiverse	面向网络安全分析师的服务

来源： README.md626 README.md633-636 README.md622

泄露数据和泄露资源

用于检查帐户或数据是否已被泄露的资源。

资源	描述
have i been pwned?	检查帐户是否在数据泄露中被泄露
dehashed	被黑数据库搜索引擎
GhostProject?	按电子邮件地址或用户名搜索
databreaches	检查电子邮件是否受到数据泄露的影响
We Leak Info	数据泄露搜索引擎
Vigilante.pw	被泄露数据库目录

来源： README.md650-652 README.md612-617

隐私资源

用于增强隐私和安全的资源。

资源	描述
privacyguides.org	保护隐私免受大规模监控的知识和工具
DNS 隐私测试服务器	具有“无日志”策略的 DNS 递归服务器
Nipe	将 Tor 网络设为默认网关的脚本
multitor	用于创建具有负载均衡的多个 Tor 实例的工具

来源： README.md563-565 README.md349-352

在安全运营中的整合

安全运营工作流程