utmstack/UTMStack

GitHub: utmstack/UTMStack

一款企业级开源 SIEM/XDR 平台,通过实时日志关联和威胁情报驱动,帮助组织实现威胁检测、事件响应和安全合规管理。

Stars: 538 | Forks: 71

# UTMStack

UTMStack

[![贡献者](https://img.shields.io/github/contributors-anon/utmstack/utmstack)](https://github.com/utmstack/UTMStack/graphs/contributors) [![版本发布](https://img.shields.io/github/release/utmstack/utmstack)](https://github.com/utmstack/UTMStack/releases/) [![问题](https://img.shields.io/github/issues-raw/utmstack/utmstack)](https://github.com/utmstack/UTMStack/issues) [![提交活动](https://img.shields.io/github/commit-activity/m/utmstack/utmstack)](https://github.com/utmstack/UTMStack/commits/main) [![许可证](https://img.shields.io/github/license/ad-aures/castopod?color=blue)](https://github.com/utmstack/UTMStack/blob/master/LICENSE) [![Discord](https://img.shields.io/discord/1154016563775672400.svg?logo=discord)](https://discord.gg/ZznvZ8xcHh) #### 由实时关联和威胁情报驱动的企业级 SIEM 和 XDR ## 简介 欢迎使用 UTMStack 开源项目!UTMStack 是一个统一威胁管理平台,融合了 SIEM(安全信息和事件管理)和 XDR(扩展检测与响应)技术。我们独特的方法允许对来自多个来源的日志数据、威胁情报和恶意软件活动模式进行实时关联,从而能够识别并阻止那些使用隐蔽技术的复杂威胁。请访问[在线演示](https://utmstack.com/demo)。

UTMStack UTMStack

## 功能 - 日志管理与关联 - 威胁检测与响应 - 威胁情报 - 警报调查 - 文件分类 - SOC AI 驱动的分析 - 安全合规 ## 为什么选择 UTMStack? UTMStack 在威胁预防方面超越了传统系统的界限,脱颖而出。我们的软件平台能够快速分析日志数据,实时识别并从源头阻止威胁,即使威胁并非在服务器本身上直接检测到。这种 SIEM 和 XDR 功能的无缝集成使 UTMStack 在竞争对手中独树一帜,为组织提供了一套有效、全面的网络安全套件,增强了客户宝贵数字基础设施的威胁检测、响应和补救能力。关联发生在数据摄取之前,从而减少了工作量并缩短了响应时间。 ## 入门指南 要开始使用 UTMStack,请访问 utmstack.com/demo 的演示。您还可以观看我们的视频以了解有关平台的更多信息: - [官方文档](https://docs.utmstack.com) - [高级持续性威胁](https://www.youtube.com/watch?v=Rqbl65cJMuA) - [UTMStack 功能概览](https://www.youtube.com/watch?v=lKkydWFiu4Y) ## 安全性 UTMStack 代码每天都会针对易受攻击的依赖项进行审查。系统每年以及在每次主要版本发布后都会进行渗透测试。Agent 和 UTMStack 服务器之间传输的所有数据均使用 TLS 加密。UTMStack 服务通过具有强身份验证的容器和微服务进行隔离。与 UTMStack 服务器的连接使用 +24 个字符的唯一密钥进行身份验证。用户凭据在数据库中加密,并受 fail2ban 机制和 2FA 保护。 ## 许可证 UTMStack 是根据 AGPL version 3 许可的开源软件。有关更多信息,请参阅 [LICENSE](LICENSE) 文件。 ## 联系方式 如果您有任何问题或建议,请随时提出问题或提交合并请求。我们很高兴收到社区的反馈! 加入我们,让 UTMStack 变得更好! # 安装 ## 建议 ### 操作系统 本安装指南提供了在 Ubuntu 22.04 LTS 上执行 UTMStack 安装的说明。 ### 系统资源 假设:60 个数据源(设备)每月生成大约 100 GB 的数据。 定义: - 热日志存储:未归档的数据,可随时访问以进行分析。 - 冷日志存储:已归档的数据,在访问之前应进行恢复。 - 数据源:任何单独的日志来源,例如,设备、Agent、SaaS 集成。 一个月热日志存储所需的资源。 - 对于 50 个数据源(120 GB)的热日志存储,您需要 4 核、16 GB RAM、150 GB 磁盘空间 - 对于 120 个数据源(250 GB)的热日志存储,您需要 8 核、16 GB RAM、250 GB 磁盘空间 - 对于 240 个数据源(500 GB)的热日志存储,您需要 16 核、32 GB RAM、500 GB 磁盘空间 - 对于 500 个数据源(1000 GB)的热日志存储,您需要 32 核、64 GB RAM、1000 GB 磁盘空间 - 您可以组合这些层级,根据设备数量和所需的热日志存储保留期来分配资源 重要提示:超过 500 个数据源/设备需要添加辅助节点以进行水平扩展。 ## 安装步骤 可以使用安装程序文件或 [ISO 镜像](https://utmstack.com/install)进行安装。以下说明仅适用于安装程序文件选项;如果您使用的是 ISO 镜像,请跳过这些说明。 ### 准备安装 - 更新软件包列表:`sudo apt update` - 安装 WGET:`sudo apt install wget` - 通过键入 `wget http://github.com/utmstack/UTMStack/releases/latest/download/installer` 下载最新版本的安装程序 - 切换到 root 用户:`sudo su` - 使用 `chmod +x installer` 设置执行权限 ### 运行安装 - 不带参数执行安装程序:`./installer` 安装 UTMStack 后,使用 admin 作为用户名,并使用安装过程中为默认用户生成的密码进行登录。您可以在 /root/utmstack.yml 中找到密码和其他生成的配置。 注意:在服务器名称或 IP 前使用 HTTPS 以访问登录页面。 ### 所需端口 - 22/TCP Secure Shell(我们建议创建防火墙规则,仅允许来自管理员工作站的访问) - 80/TCP UTMStack 基于 Web 的图形用户界面重定向器(我们建议创建防火墙规则,仅允许来自管理员和安全分析师工作站的访问) - 443/TCP UTMStack 基于 Web 的图形用户界面(我们建议创建防火墙规则,仅允许来自管理员和安全分析师工作站的访问) - 9090/TCP Cockpit 基于 Web 的服务器图形界面(我们建议创建防火墙规则,仅允许来自管理员工作站的访问) - 在配置 UTMStack 集成以接收日志期间,将需要其他端口。(如果存在集成指南,请遵循其中给出的安全建议) # 常见问题解答 - 它是基于 Grafana、Kibana 或类似的报告工具吗? 回答:不是。UTMStack 从头开始构建,旨在成为一个简单直观的 SIEM/XDR。 - UTMStack 是否使用 ELK 进行日志关联? 回答:不。UTMStack 关联引擎是从头构建的,用于在摄取之前分析数据并最大化实时关联。 - 开源版和企业版有什么区别? 企业版包含通常会使企业和 MSP 受益的功能。例如,支持、更快的关联、频繁的威胁情报更新和人工智能。
标签:AMSI绕过, OISF, PE 加载器, SOAR, UTMStack, 人工智能安全, 企业安全, 合规性, 威胁情报, 威胁检测, 安全运营, 实时关联, 开发者工具, 扫描框架, 搜索引擎查询, 日志审计, 日志管理, 测试用例, 统一威胁管理, 网络安全, 网络资产管理, 自动化攻击, 自动化攻击, 自动化攻击, 请求拦截, 隐私保护, 风险控制