Обзор — Mozilla Enterprise Defense Platform (MozDef)


Что такое MozDef?

Проще всего описать Mozilla Defense Platform (MozDef) как набор микросервисов, которые вы можете использовать в качестве открытой платформы управления информацией о безопасности и событиями (SIEM) поверх Elasticsearch.

Почему?

Вдохновением для создания MozDef послужил большой арсенал инструментов, доступных злоумышленникам. Пакеты с открытым исходным кодом, такие как metasploit, armitage, lair, dradis и другие, легко доступны, чтобы помочь злоумышленникам координировать, обмениваться разведданными и точно настраивать свои атаки в режиме реального времени.

Для защитников возможности открытого кода обычно ограничиваются вики, системами тикетов и базами данных ручного отслеживания, подключаемыми к коммерческой системе SIEM.

Платформа Mozilla Defense Platform (MozDef) призвана автоматизировать процесс обработки инцидентов безопасности и облегчить деятельность специалистов по обработке инцидентов в режиме реального времени.

Mozilla Enterprise Defense Platform (MozDef)

Цели

Высокий уровень

  • Предоставить платформу для использования защитниками для быстрого обнаружения и реагирования на инциденты безопасности
  • Автоматизировать интерфейсы к другим системам, таким как брандмауэры, облачные системы защиты и все, что имеет API.
  • Предоставление метрик для событий и инцидентов безопасности
  • Облегчение сотрудничества в режиме реального времени между специалистами по обработке инцидентов
  • Обеспечение повторяемости и предсказуемости процессов обработки инцидентов.
  • Выйти за рамки традиционных SIEM-систем в автоматизации обработки инцидентов, обмена информацией, рабочего процесса, метрик и автоматизации реагирования.

Техника

  • Предложите микросервисы, которые составляют систему управления информацией и событиями безопасности с открытым исходным кодом (SIEM)
  • Масштабируемый, должен быть способен обрабатывать тысячи событий в секунду, обеспечивать быстрый поиск, оповещение, корреляцию и обрабатывать взаимодействие между командами обработчиков инцидентов

MozDef призван обеспечить традиционную функциональность SIEM, включая:

  • Прием событий/журналов из различных систем.
  • Хранение событий/журналов.
  • Облегчение поиска.
  • Облегчение оповещения.
  • Облегчение управления журналами (архивирование, восстановление).

Он является нетрадиционным в том смысле, что он:

  • Принимает только входные данные в формате JSON.
  • Предоставляет открытый доступ к данным.
  • Интегрируется с различными отправителями логов, включая logstash, beaver, nxlog, syslog-ng и любой другой отправитель, который может отправлять JSON либо в rabbit-mq, либо в конечную точку HTTP(s).
  • Обеспечивает простую интеграцию с облачными источниками данных, такими как CloudTrail или GuardDuty.
  • Предоставляет простые плагины python для манипулирования вашими данными в пути.
  • Предоставляет широкие возможности для настройки потока обогащения событий, рабочего процесса оповещения и т.д.
  • Обеспечивает доступ в режиме реального времени для групп специалистов по реагированию на инциденты, позволяя друг другу видеть их работу одновременно.

Архитектура

MozDef основан на технологиях с открытым исходным кодом, включая:

  • Nginx (ввод журналов на основе http(s)-файлов)
  • RabbitMQ (очередь сообщений и amqp(s)-ориентированный ввод журнала)
  • uWSGI (диспетчерское управление рабочими станциями на базе python)
  • bottle.py (простой интерфейс python для обработки веб-запросов)
  • Elasticsearch (масштабируемая индексация и поиск документов JSON)
  • Meteor (отзывчивый фреймворк для Node.js, позволяющий обмениваться данными в реальном времени)
  • MongoDB (масштабируемое хранилище данных, тесно интегрированное с Meteor)
  • VERIS от verizon (таксономия категоризации инцидентов безопасности с открытым исходным кодом)
  • d3 (библиотека javascript для создания документов, управляемых данными)
  • Firefox (маленький быстрый веб-браузер)

Обработка фронтенда

Обработка фронтенда в MozDef заключается в получении события/лога (в формате json) по HTTP(S), AMQP(S) или SQS, преобразовании данных, включая нормализацию, добавление метаданных и т.д., и отправке данных в Elasticsearch.

Внутри MozDef использует RabbitMQ для постановки в очередь событий, которые еще предстоит обработать. На диаграмме ниже показано взаимодействие между скриптами python (управляемыми uWSGI), обменами RabbitMQ и индексами Elasticsearch.

Обработка фронтенда MozDef

Статус

MozDef находится в производстве в Mozilla с 2014 года, где мы используем его для обработки более 300 миллионов событий в день.


Добавить комментарий