介绍
本文将回顾 Threat Stack 的一些技术性更强的方面。 Threat Stack 是一个独立于平台的入侵检测系统 (IDS),旨在为用户提供对各种集成服务器安全功能的独特视图。 它监控 Linux 和 Windows 服务器以及 Kubernetes 或其他基于容器的服务器基础设施,以观察行为并检测恶意、不常见和有风险的活动。
在警报逻辑可能不适合的许多情况下,它是有利的。
什么是威胁堆栈?
Threat Stack 是一种基于代理的实时 IDS,适用于现代 Linux 和 Windows 服务器。 Threat Stack 代理旨在将用户、进程、网络和文件行为的事件数据发送到 Threat Stack 平台。 在威胁堆栈平台中,事件被审查、处理并与规则集进行比较,规则集由触发警报的安全检测组成以供审查。 Threat Stack 安全运营中心 (SOC) 全天候 24/7/365 运行,将对高严重性警报进行分类、调查警报,然后上报给积极解决问题的 Liquid Web 支持。 如果需要在服务器上采取主动缓解措施,我们会立即通知客户以确保提供解决方案,同时让客户了解其进度。
Threat Stack 通过 Liquid Web 安装的监控代理运行。 Threat Stack 主动监控以下问题:
- 用户登录/登录尝试。
- 可疑的命令。
- 网络连接。
- 文件访问和修改。
- 特权升级。
- 新进程和内核模块。
它在客户希望增强服务器安全性的服务器上实施,增加对可疑进程的可见性,并为也希望 IDS 符合 HIPAA 或 PCI 合规性的客户添加实时安全监控。
系统集成
Threat Stack 可以安装在以下 Liquid Web 服务器平台上:
- VPS 服务器
- 专用服务器
- Cloud 专用服务器
- VMware 服务器
要求
Threat Stack 可以安装在以下操作系统上。
注意:完整的系统要求可以在 威胁堆栈 网站。 查看表
| 中央操作系统 | 最低内核版本 |
|---|---|
| 7 | 3.10 |
| 8 | 4.18 |
查看表
| Ubuntu | 最低内核版本 |
|---|---|
| 20.04 | 5.4 |
| 18.04 | 4.15 |
| 16.04 | 3.13 |
查看表
| Debian | 最低内核版本 |
|---|---|
| 10 | 4.19 LTS(仅在 Agent 2.x 系列中支持) |
| 9 | 4.9 长期支持 |
| 8 | 3.16 |
查看表
| Cloud Linux | 笔记 |
|---|---|
| 目前仅支持 LW 版本。 | Threat Stack 将无法在任何过时的操作系统上运行。 |
查看表
| 视窗 | Windows 服务器操作系统 |
|---|---|
| 视窗服务器 | 2012 |
| 视窗服务器 | 2012 R2 |
| 视窗服务器 | 2016 年 |
| 视窗服务器 | 2019 |
规则集
通常,威胁堆栈安全规则分为三层。 这些层定义了问题的严重性以及为响应而采取的适当努力。
SEV 1 – 严重
严重级别为 1 的通知表示可能的根级别服务器受损。 指出的进程被标识为在 /tmp 或 /dev/shm 文件夹或其他已知的可能的根危害位置中执行。 这些类型的警报将导致立即调查,如果有必要,管理员将立即向客户开具票证。
SEV 2 – 可疑
严重级别为 2 的通知表示以 root 用户身份运行的有问题的进程。 假设服务器上的服务运行 shell,或者如果创建了新用户或其他类型的用户权限提升,则会记录这些警报。 我们可能会根据活动水平或主动压制向客户开票。
SEV 3 – 已记录
严重级别为 3 的通知意味着已下载或使用了可疑的命令行工具(如 wget 或 netstat),用户已从 LAN 登录,或看到其他奇怪的 GNU 编译器集合 (GCC) 活动。 记录这些警报类型以供取证分析期间可能使用,但未明确为此活动类型创建票证。
此外,如果发现安全问题是误报,则会将其列入全局白名单,以防止进一步的误报。 我们的威胁堆栈版本不包括按需漏洞扫描。 但是,由于 Threat Stack 实时执行并持续监控您的服务器,它会立即标记可疑活动。 检测到威胁时会立即启动手动调查,并立即开始适当的补救措施。 客户端在整个过程中不断更新。 如果需要,客户可以单独购买按需漏洞和恶意软件扫描。
确认
代理流程
客户端可以在终端中使用以下命令验证威胁堆栈代理是否正在运行。
[root@host ~]# tsagent status
UP Threat Stack Agent Daemon
UP Threat Stack Backend Connection
UP Threat Stack Heartbeat Service
UP Threat Stack Login Collector
UP Threat Stack Audit Collection
UP Threat Stack Log Scan Service
UP Threat Stack Vulnerability Scanner
UP Threat Stack File Integrity Monitor确认检查
要验证代理上次完成签入的时间,我们可以使用 Threat Stack 命令行工具并运行以下命令。
[root@host ~]# tsagent info
LastBackendConnection: 2021-03-05T21:09:37Z
ClientConfig:
ID: 5f735f85c137554511ca3a51-19beebd0-6fd2-11eb-9997-a11e888adf040001020304050607
Key: 5f735f85c137554511ca3a51-19beebd0-6fd2-11eb-9997-a11e888adf04
Protocol: ALv2
Backend: wss://cssensors.threatstack.com过程操作
如果需要启动、停止或重新启动代理,我们可以再次使用 Threat Stack 命令行工具。 运行以下任何命令将完成此任务。
[root@host ~]# tsagent stop
[root@host ~]# tsagent start
[root@host ~]# tsagent restart威胁堆栈优势
Threat Stack 为中小型企业提供多种好处。
- 实时检测服务器上的入侵尝试。
- 强大的安全性,可针对即时服务器威胁提供主动、被动和基于交互的响应。
- 从其专用的安全运营中心升级到 Liquid Web 的分析。
- 为注重成本的消费者提供真正具有竞争力的价格点,同时提供与其他收益更高的替代方案类似的世界级保护。
- 通过减少调查误报所花费的时间、提高警惕而无需额外的时间投资,以及防止代价高昂的业务中断,实现了无形的成本节约。
- 知道完全托管的产品每天都在努力保护您,让您高枕无忧。
威胁堆栈的缺点
- 尽管 Threat Stack 提供了所有优势,但一些缺点可能会阻止一些客户选择此产品。
- 服务器代理要求:必须在每台服务器上安装代理,这对于集群占用空间较大的客户端可能会很麻烦,因为代理一次只包含一个服务器。
- 附加进程增加负载:虽然添加单个代理进程不会显着影响服务器负载,但使用率高的服务器的所有者必须了解所有资源使用情况。 代理持续运行并与外部源交互以为服务提供数据。
无自动缓解:虽然 Threat Stack 主动监控和记录当前服务器事件,但除了报告之外,它不会对任何事件采取主动措施。 需要采取进一步的补救措施来解决发现的任何严重或关键问题。 话虽如此,上述事件的响应时间非常好。
结论
总体而言,Threat Stack 以低廉的价格为客户提供了显着优势。 它在监控、报告和由 Liquid Web 支持采取的后续行动中提供的不间断保护为每个有安全意识的企业主提供了全天候的安心。
Threat Stack 因高级功能的适中初始价格而得到增强。 它持续主动地提供系统随附的入侵检测功能,使您的服务器免受使用各种攻击媒介获取访问权限的恶意行为者的攻击。 总体而言,Threat Stack 是每个具有安全意识的客户都需要的一流服务。
如果您对本文中提供的信息有任何疑问,请通过电话 800.580.4985、支持票或 在线聊天 一天 24 小时,一周 7 天,一年 365 天
