Zabbix Templates for Security Analysts and Systems Administrators – EOY 2021
Kent Ickler
背景
BHIS 使用多种工具来监控基础设施。对我们来说,最重要的系统健康监控工具之一是 Zabbix。距离我上次创建 Zabbix(https://www.zabbix.com/)监控模板已经有一段时间了。长话短说,几年前当我将大部分时间转向渗透测试时,我退居系统管理二线,当时我们聘请了 DRock 和后来的 Napalm-Nick 来加强我们的系统团队。全年我偶尔会帮助系统团队,包括重建我们的 Zabbix 监控平台。
自我们上次部署以来发布的新 Zabbix 版本有一些错误修复和新功能,特别是在系统捕获 JSON 类型数据的方式上。在过去一年中,我们部署了多个新的 Zabbix 实例。为了帮助系统团队监控难以监控的系统和服务,我创建了一些 Zabbix 模板,帮助 BHIS 在我们睡觉或忙于其他项目时密切关注情况。不是每个人都会觉得这些有用,但你们中的一些人可能会。
其他使用相同 API 技术来帮助我们增强数据的安全公司会发现其中一些模板对于监控 API 使用情况、信用额度等很有用。
以下是我们创建的开源新模板的快速概述,以及您如何在自己的操作中使用它们。
接口带宽聚合 – Bandwidth-vnstat
链接:https://github.com/Relkci/Zabbix_Bandwidth-vnstat
此模板使用 Linux 工具“vnstat”来监控每个间隔、每天和每月的流量。如果网络带宽超过某些可配置的阈值,可以在接口上配置警报。以下是来自模板和 BHIS 自己的 www.blackhillsinfosec.com 网络服务器的一些示例图表。
FullContact API
链接:https://github.com/Relkci/Zabbix_FullContact_API
BHIS 使用 API 服务来增强其安全研究和渗透测试并不奇怪。FullContact(www.fullcontact.com)是一项聚合公司用户信息并以 JSON 格式或通过其网站界面提供结果的服务。BHIS 创建了一个 Zabbix 模板来监控 FullContact 平台的 API 信用额度和使用情况。
Sendgrid 邮件投递
链接:https://github.com/Relkci/Zabbix_Sendgrid_Api_Provider
BHIS 使用 Sendgrid(www.sendgrid.com)来投递一些基于营销的电子邮件。我们还将其用于警报和一些事务型电子邮件。此 Zabbix 模板监控邮件发送信用、账户信息、垃圾邮件报告、退订报告、IP 声誉等。配置了警报,以便在信用不足或对平台进行管理更改时通知我们。
以下是显示随时间推移的抑制情况的示例图表截图:
Censys.IO API 监控器
链接:https://github.com/Relkci/Zabbix_Censys.io-API-Status
与 FullContact 非常相似,BHIS 使用 Censys.io 来增强其部分数据分析。此 Zabbix 模板监控 API 使用情况和额度,并在我们的信用即将超额时提醒我们。
WPScan API 监控器
链接:https://github.com/Relkci/Zabbix_WPScanAPIStatus
WPScan 是一个可以对基于 WordPress 的网站进行分析的工具。它可以枚举插件、用户、主题,甚至发现漏洞。与 WPScan 相关的服务是 www.wpscan.com,可以通过 API 请求执行这些扫描。此 Zabbix 模板监控 wpscan.com API 账户的使用情况,并在我们接近 API 额度时通知我们。
Shodan.IO API 监控器
链接:https://github.com/Relkci/Zabbix_Shodan-APIStatus
Shodan.io 已经存在很久了!Shodan 以扫描公共互联网并聚合其识别的服务而闻名。Shodan.io 的一项服务允许组织监控自己的互联网足迹,并对 Shodan.io 公共互联网数据库进行临时扫描。此 Zabbix 模板监控我们 Shodan.io 账户的 API 使用情况,并在我们信用即将用完时通知我们。
VirusTotal API 监控器
链接:https://github.com/Relkci/Zabbix_VirusTotalAPIStatus
VirusTotal 拥有丰富的猎人和恶意软件信息,可以帮助红队和蓝队高效地进行恶意软件创建,以及威胁狩猎和事件响应。此 Zabbix 模板监控 VirusTotal 多种产品的 VirusTotal API 使用情况。配置了警报,以便在我们即将超出 API 额度时通知我们,并告知账户管理更改。
MailChimp 营销监控器
链接:https://github.com/Relkci/Zabbix_MailChimpStats
与 BHIS 使用 Sendgrid 发送一些事务型和营销电子邮件类似,我们也使用 MailChimp 向我们邮件列表的订阅用户发送一些更有针对性的电子邮件。此 Zabbix 模板监控活动管理、邮件发送统计、退回邮件和账户安全。Zabbix 触发器在发现问题时提醒我们。
以下是几个示例截图:
使用 IPStack 增强地理位置
链接:https://github.com/Relkci/Zabbix_GeoLocation-IPStack
Zabbix 保存了一些关于受监控主机或服务的信息,这些信息可用于通过其他服务增强信息。在这种情况下,我们使用主机的公共 IP 与 IPStack(www.ipstack.com)来增强主机本身的地理位置数据。这使我们能够根据用户服务器的地理位置创建统计分组和聚合,而无需担心手动更新它们。此模板还监控 IPStack 账户、API 使用情况,并在出现问题时通知我们。
以下是生成的增强数据的几个截图:
Cloudflare 隧道指标
链接:https://github.com/Relkci/Zabbix_Cloudflared
Cloudflare 有一些令人难以置信的产品。我们使用一些。他们的产品之一是 Cloudflare Argo Tunnels。该服务可能很快会重命名,但简而言之,您可以将其视为反向代理。无论如何,此 Zabbix 模板监控我们的 Cloudflare 隧道,并在情况看起来不健康时通知我们。
以下是此模板的几个截图:
Nessus Professional 监控器
链接:https://github.com/Relkci/Zabbix_Nessus-Professional_Monitoring
我们在 BHIS 使用多种漏洞扫描器。Tenable 的 Nessus 已经存在相当长一段时间了。此 Zabbix 模板监控我们 Nessus 部署的健康状况,以及一些操作和管理信息。当发现问题时,警报会通知我们。
以下是一些截图:
安全记分卡
链接:https://github.com/Relkci/Zabbix_SecurityScorecard
最后但并非最不重要的是我们在过去一年中熟悉的一项服务。我发布这个并不是作为安全记分卡的产品公告。CJ 和我已经就他们的服务以及它如何对第三方风险管理部门非常出色进行了多轮讨论。除此之外,BHIS 在安全记分卡服务内部创建了一个小型部署,以监控我们一些供应商对安全态势的关注……或者类似的事情。只能说我们对数据的重要性尚未决定。CJ 已经要求我就此主题进行一次网络直播,所以……总有一天。无论如何,此 Zabbix 模板监控您的组织、供应商和竞争对手的“安全记分卡”等级和分数。当您的分数或与竞争对手相比的分数百分比发生变化时,模板会通知您。它还可以让您知道供应商的分数是否发生变化。
这些截图很难获取而不泄露我们供应商和竞争对手的名称(竞争对手没问题;我们就像大家庭)。总之,这里有一些通用图表:
使用 Zabbix 使我们能够监控多个自动化、操作和管理流程,以实现统计和安全监督。我们希望这些模板可能对您有用。要了解我们未来构建的模板,请订阅此存储库的通知,我们更新时您会收到通知。https://github.com/Relkci/Zabbix-Templates
参考文献:
- Zabbix 模板:https://github.com/Relkci/Zabbix-Templates
- Zabbix:https://www.zabbix.com/
- Full Contact:https://www.fullcontact.com/
- Sendgrid:https://sendgrid.com/
- Censys:https://censys.io/
- Shodan:https://www.shodan.io/
- VirusTotal:https://www.virustotal.com/
- MailChimp:https://mailchimp.com/
- IPStack:https://ipstack.com/
- Cloudflare 隧道:https://www.cloudflare.com/products/tunnel/
- Tenable Nessus:https://www.tenable.com/products/nessus
- 安全记分卡:https://securityscorecard.com/