- Một công cụ giám sát bảo mật dựa trên máy chủ dành riêng cho Linux do một nhà phát triển tạo ra vì không hài lòng với chi phí cao của các công cụ bảo mật doanh nghiệp (khoảng $50,000/năm) và thiết kế thiên về Windows
- Giám sát theo thời gian thực phần mềm độc hại, rootkit và các nỗ lực che giấu thông qua phát hiện đa lớp bao trùm cả không gian người dùng và không gian kernel
- Hoạt động bằng một script Bash duy nhất, gần như không có phụ thuộc nên cài đặt đơn giản và hầu hết quản trị viên Linux đều có thể tự đọc và chỉnh sửa
- Được thiết kế để có thể sử dụng cả trong môi trường chi phí thấp (nhà phát triển xây dựng trên một laptop giá $500)
Tính năng chính
- Giám sát thời gian thực : theo dõi tiến trình, mạng và tệp
- Theo dõi sự kiện kernel dựa trên eBPF: theo dõi thực thi tiến trình theo thời gian thực và phân tích system call
- Phát hiện phần mềm độc hại dựa trên luật YARA (web shell, reverse shell, trình đào tiền mã hóa)
- Ứng phó với mối đe dọa
- Phát hiện và chặn hành vi bất thường (chặn IP, kết thúc tiến trình, cách ly tệp)
- Phát hiện kỹ thuật che giấu của rootkit và các mối đe dọa nâng cao
- Mở rộng bảo mật
- Phát hiện tấn công bằng network honeypot (lắng nghe cổng để nhử kẻ tấn công)
- Tự động cập nhật threat intelligence (bao gồm tra cứu uy tín IP)
- Ghi log pháp chứng và kiểm tra tính toàn vẹn
- Thuận tiện trong vận hành
- Dựa trên một script Bash duy nhất (không cần cài đặt phức tạp)
- Cung cấp dashboard web và REST API
- Tối ưu cho môi trường container như Docker
Yêu cầu hệ thống
- Linux Kernel 4.9+ (cần eBPF)
- Bash 4.0+
5 bình luận
Repo chỉ có đúng một thứ đó thôi, không biết có phải chỉ mình tôi thấy hơi rờn rợn không?
Nếu nó bắt đầu nổi tiếng thì có vẻ sẽ thành mục tiêu của tấn công chuỗi cung ứng.
Tên tài khoản github trông cũng khá đáng ngờ nhỉ. IHATEGIVINGUSERNAME
Nghe cũng có lý đấy?
Tôi đã nghĩ chỉ dùng mỗi bash thì không thể làm được, nhưng hóa ra nó cũng gọi Python để chạy máy chủ HTTP và những việc tương tự.
Wow, nếu điều này là thật thì đúng là quá đỉnh!