Welche Produkte setzen wir in unserem FreeSOC ein
Das von mir zusammengefügte SOC nenne ich FreeSOC, da es auf freie Open Source Produkten beruht.
Dies sind die folgenden:
Die Zentrale Komponente ist dabei Wazuh - dies ist ein Open Source SIEM mit XDR Funktionalitäten. Alle Daten laufen erst in WAZUH zusammen, von dort werden diese ausgewertet und weiterverarbeitet. Angebunden werden, können dort:
- Windows Clients/Server
- MacOS Clients
- Linux/Unix Clients/Server
- Geräte wie Firewalls, Switches, Router, Telefonanlagen, VPN Gateway, Mailrelays und mehr mehr über Syslog
Weiterhin können auch folgende Zentrale Clouddienste überwacht werden, wie z.B.:
- Github
- Office/Microsoft 365 (und natürlich Azure)
- AWS
Die Agent überwacht folgendes:
- Vulnarability
- Compliance (PCI, GDPR usw.)
- Status mit Berichtserstellung
- Und noch vieles mehr
MISP ist eine zentrale Malware and Sharing Plattform, welche mehrere Feeds anbieten mit vielen interessanten Informationen wie z.B.:
- Bad IP Adresses
- Spam Adressen
- Tor Exitnodes
- IoC wie URL, IP, Hashes, Dateinamen usw.
- Und vieles mehr