Pour mieux comprendre les motivations derrière MozDef, une lecture rapide sur le site web du projet révèle ce qui suit : « l’inspiration pour MozDef tient sa source depuis le large arsenal d’outils disponibles pour les attaquants. Des suites comme Metasploit, Armitage, Lair, Dradis et d’autres sont disponibles pour aider les attaquants à coordonner, partager les renseignements et enfin peaufiner leurs attaques en temps réel. Or, force est de constater que de l’autre côté les utilisateurs et les professionnels se cantonnent à utiliser les systèmes de gestion de tickets et à traquer manuellement tout signe révélateur sur les bases de données des systèmes SIEM. »
Ainsi avec ce bref aperçu, MozDef se veut un système automatique de rapport d’incidents et de gestion des évènements avec comme principaux objectifs : munir les utilisateurs et les professionnels d’une plateforme pour la découverte et le traitement rapide des attaques, faciliter la collaboration et le travail en temps réel sur les différents évènements observés, automatiser l’interfaçage avec certains systèmes comme Bunker, Banhammer et Mig.
Les développeurs du projet ont d’ores et déjà déterminé certaines caractéristiques techniques comme le recourt exclusif au format JSON, l’accès de l’utilisateur à ses données, l’intégration avec de nombreux outils de logs comme Heka, LogStash, Beaver, Nxlog ou tout autre outil capable d’envoyer des données au format JSON à un terminal HTTP ou de type Rabbit-MQ, l’utilisation de plug-ins sous python pour faciliter le traitement des données et enfin l’accès en temps réel aux équipes de sécurité.
Côté architecture, MozDef sera basé sur différentes technologies open source comme :
- Nginx : pour les logs en entrée
- Rabbit-MQ : pour la gestion des files d’attente des messages
- bottle.py : interface python pour le traitement des requêtes web
- Elastic Search : moteur de recherche de documents JSON
- Meteor : framework Javascript
- VERIS : pour la taxonomie des évènements observés
- Ainsi que Mongo DB, d3(librairie JavaScript), three.js (librairie 3D Javascript) et Firefox.
Le projet étant encore à ses balbutiements, aucune date de sortie n’a été annoncée. Quant au code source, il peut être consulté librement sur GitHub.
Source : MozDef
Et vous ?
Qu’en pensez-vous ?