Deepfence a lancé un nouvel outil open source PacketStreamer qui capture le trafic réseau à partir de plusieurs sources pour révéler les comportements de piratage potentiels.
PacketStreamer les capteurs collectent les paquets réseau bruts sur des hôtes distants, appliquent des filtres et les transmettent à un processus récepteur central où ils sont écrits au format pcap. Les flux de trafic peuvent être compressés ou chiffrés à l’aide de Transport Layer Security (TLS).
La société affirme que les capteurs ont peu d’impact sur les performances des hôtes distants et qu’ils peuvent être exécutés sur des serveurs bare metal, sur des hôtes Docker et sur des nœuds Kubernetes.
Les utilisateurs peuvent ensuite traiter le fichier pcap ou alimenter en direct le trafic vers des outils tels que Zeek, Wireshark ou Suricata, ou en tant que flux en direct pour les modèles d’apprentissage automatique.
Cas d’utilisation
Owen Garrett, responsable de la communauté et des produits chez Deepfence, explique que les principales applications sont susceptibles de vérifier quelles requêtes les serveurs traitent à des fins de débogage, d’investigation en cas d’incident et d’activités de chasse aux menaces.
« Les administrateurs système peuvent trouver utile de déboguer les applications en cours d’exécution », explique-t-il. La gorgée quotidienne.
« Les équipes de cybersécurité peuvent trouver utile de capturer le trafic réseau pour l’investigation post-incident ou de prendre en charge les activités de chasse aux menaces. Les chercheurs peuvent trouver utile de capturer le trafic réel à des fins d’étude. »
Il y a aussi une activité croissante, dit-il, autour de l’utilisation de l’apprentissage automatique pour comprendre le trafic réseau.
« L’objectif est d’établir avec précision une base de référence pour le trafic » normal « , d’identifier les valeurs aberrantes et les anomalies possibles, puis de corréler ces anomalies pour identifier les séquences d’événements pouvant indiquer la présence d’un adversaire ou la progression d’une attaque », déclare-t-il.
La plate-forme d’analyse des attaques et d’évaluation des menaces ThreatStryker de Deepfence utilise ce processus pour capturer le trafic des plates-formes de production à des fins d’investigation et de détection d’anomalies.
La société affirme qu’à sa connaissance, il n’existe aucune autre méthode simple, légère et évolutive pour capturer et diffuser des paquets à partir d’environnements virtualisés tels que K8, VM ou Fargate, sur plusieurs clouds.
« Le problème est que les environnements de calcul modernes sont assez différents des environnements hérités : ils sont basés sur le cloud, couvrent un grand nombre de serveurs et utilisent des technologies de virtualisation et des plates-formes de conteneurs », explique Garrett.
« PacketStreamer prend la capture réseau contemporaine et la transforme pour les environnements modernes et natifs du cloud. »
Garrett dit que la société accueille les contributions et qu’elle a reçu d’excellents retours jusqu’à présent.
« Nous avons de nombreux plans et demandes d’améliorations », dit-il. « Nous commencerons par documenter davantage de cas d’utilisation, y compris des détails sur la façon d’alimenter les données de PacketStreamer dans des magasins de données et des outils d’analyse courants tels que Redis, Apache Kafka et Elasticsearch. »