[ad_1]
介绍
本文将回顾 Threat Stack 的一些更具技术性的方面。 Threat Stack 是一种独立于平台的入侵检测系统 (IDS),旨在为用户提供对各种集成服务器安全功能的独特视图。 它监控 Linux 和 Windows 服务器以及 Kubernetes 或其他基于容器的服务器基础架构,以观察行为并检测恶意、不常见和有风险的活动。
在警报逻辑可能不适合的许多情况下,它是有利的。
什么是威胁堆栈?
Threat Stack 是一种实时的、基于代理的 IDS,适用于现代 Linux 和 Windows 服务器。 威胁堆栈代理旨在将用户、进程、网络和文件行为的事件数据发送到威胁堆栈平台。 在威胁堆栈平台内,事件被审查、处理并与规则集进行比较,规则集由触发审查警报的安全检测组成。 威胁堆栈安全运营中心 (SOC) 24/7/365 全天候运行,将对高严重性警报进行分类,调查警报,然后升级到 Liquid Web Support,后者会积极解决问题。 如果需要在服务器上采取主动缓解措施,我们会立即通知客户以确保提供解决方案,同时让客户了解其进度。
Threat Stack 通过 Liquid Web 安装的监控代理运行。 Threat Stack 主动监控以下问题:
- 用户登录/登录尝试。
- 可疑的命令。
- 网络连接。
- 文件访问和修改。
- 特权升级。
- 新进程和内核模块。
它在服务器上实施,客户希望加强服务器安全性,增加对可疑进程的可见性,并为还需要 IDS 以符合 HIPAA 或 PCI 合规性的客户添加实时安全监控。
系统集成
Threat Stack 可以安装在以下 Liquid Web 服务器平台上:
- VPS 服务器
- 专用服务器
- Cloud 专用服务器
- VMware 服务器
要求
Threat Stack 可以安装在以下操作系统上。
注意:完整的系统要求可以在 威胁堆栈 网站。 查看表
| CentOS | 最低内核版本 |
|---|---|
| 7 | 3.10 |
| 8 | 4.18 |
查看表
| Ubuntu | 最低内核版本 |
|---|---|
| 20.04 | 5.4 |
| 18.04 | 4.15 |
| 16.04 | 3.13 |
查看表
| Debian | 最低内核版本 |
|---|---|
| 10 | 4.19 LTS(仅在 Agent 2.x 系列中支持) |
| 9 | 4.9 长期服务 |
| 8 | 3.16 |
查看表
| Cloud Linux | 笔记 |
|---|---|
| 目前仅支持 LW 版本。 | 威胁堆栈将无法在任何过时的操作系统上运行。 |
查看表
| 视窗 | Windows 服务器操作系统 |
|---|---|
| 视窗服务器 | 2012年 |
| 视窗服务器 | 2012 R2 |
| 视窗服务器 | 2016年 |
| 视窗服务器 | 2019年 |
规则集
通常,威胁堆栈安全规则分为三层。 这些层定义了问题的严重性以及为响应而采取的适当努力。
SEV 1 – 严重
严重性级别为 1 的通知表示可能存在根级别服务器危害。 指出的进程被标识为在 /tmp 或 /dev/shm 文件夹或其他已知的可能的 root 泄露位置中执行。 这些类型的警报将导致立即调查,如果有必要,管理员将立即向客户开立工单。
SEV 2 – 可疑
严重级别为 2 的通知指示以 root 用户身份运行的可疑进程。 假设服务器上的服务运行 shell,或者如果创建了新用户或其他类型的用户权限提升,则会记录这些警报。 我们可能会根据活动或主动抑制的级别与客户一起开票。
SEV 3 – 记录
严重级别为 3 的通知意味着已下载或使用可疑的命令行工具(如 wget 或 netstat),用户已从 LAN 登录,或发现其他奇怪的 GNU 编译器集合 (GCC) 活动。 这些警报类型会在取证分析期间被记录以供潜在使用,但不会为该活动类型明确创建故障单。
此外,如果发现安全问题是误报,则会将其列入全局白名单以防止进一步误报。 我们的威胁堆栈版本不包括按需漏洞扫描。 但是,由于 Threat Stack 实时执行并持续监控您的服务器,因此它会立即标记可疑活动。 当检测到威胁时,会立即启动手动调查,并立即开始适当的补救步骤。 客户在整个过程中不断更新。 如果需要,客户可以单独购买按需漏洞和恶意软件扫描。
确认
代理流程
客户端可以在终端中使用以下命令验证威胁堆栈代理是否正在运行。
[[email protected] ~]# tsagent status
UP Threat Stack Agent Daemon
UP Threat Stack Backend Connection
UP Threat Stack Heartbeat Service
UP Threat Stack Login Collector
UP Threat Stack Audit Collection
UP Threat Stack Log Scan Service
UP Threat Stack Vulnerability Scanner
UP Threat Stack File Integrity Monitor确认检查
要验证代理上次完成签入的时间,我们可以使用威胁堆栈命令行工具并运行以下命令。
[[email protected] ~]# tsagent info
LastBackendConnection: 2021-03-05T21:09:37Z
ClientConfig:
ID: 5f735f85c137554511ca3a51-19beebd0-6fd2-11eb-9997-a11e888adf040001020304050607
Key: 5f735f85c137554511ca3a51-19beebd0-6fd2-11eb-9997-a11e888adf04
Protocol: ALv2
Backend: wss://cssensors.threatstack.com过程操纵
如果需要启动、停止或重新启动代理,我们可以再次使用威胁堆栈命令行工具。 运行以下任何命令将完成此任务。
[[email protected] ~]# tsagent stop
[[email protected] ~]# tsagent start
[[email protected] ~]# tsagent restart威胁堆栈优势
Threat Stack 为中小型企业提供多种好处。
- 实时检测服务器上的入侵企图。
- 强大的安全性,可对即时服务器威胁提供主动、被动和基于交互的响应。
- 将分析从其专用的安全运营中心升级到 Liquid Web。
- 为注重成本的消费者提供真正具有竞争力的价格点,同时提供类似于其他更高收益的替代品的世界级保护。
- 通过减少调查误报所花费的时间、在不增加时间投入的情况下提高警惕并防止代价高昂的业务中断,实现了无形的成本节约。
- 知道完全托管的产品每天都在努力保护您,让您高枕无忧。
威胁堆栈的缺点
- 尽管 Threat Stack 提供了所有优势,但一些缺点可能会阻止一些客户选择该产品。
- 服务器代理要求:必须在每台服务器上安装一个代理,这对于集群占用空间较大的客户端来说可能会很麻烦,因为一个代理一次只包含一个服务器。
- 附加进程增加负载:虽然添加单个代理进程不会显着影响服务器负载,但大量使用的服务器的所有者必须了解所有资源使用情况。 代理持续运行并与外部源交互以为服务提供数据。
无自动缓解:虽然 Threat Stack 主动监控和记录当前服务器事件,但除了报告之外,它不会对任何事件采取主动措施。 需要采取进一步的补救措施来解决所发现的任何严重或关键问题。 话虽如此,上述事件的响应时间非常好。
结论
总体而言,Threat Stack 以较低的价格为客户提供了显着的好处。 它在监控、报告和后续行动中提供的不间断保护 Liquid Web 支持为每个具有安全意识的企业主提供全天候的安心。
Threat Stack 因其高级功能的适中初始价格点而得到增强。 系统随附的持续主动入侵检测功能可确保您的服务器免受使用各种攻击媒介获取访问权限的恶意行为者的侵害。 总的来说,Threat Stack 是每个有安全意识的客户都需要的一流服务。
如果您对本文中提供的信息有任何疑问,请通过电话 800.580.4985、支持票或联系我们在托管方面最有帮助的人之一 在线聊天 一天 24 小时,一周 7 天,一年 365 天
[ad_2]