Компания Adobe открыла утилиту One-Stop Anomaly Shop (OSAS) для обнаружения и классификации аномалий в данных журналов безопасности. Исходники программы доступны на GitHub под лицензий Apache 2.0. Новинка, как утверждается, может быть легко модифицирована и проста в использовании.
OSAS использует машинное обучение и позволяет определить, какие функции или комбинации функций обеспечивают наибольшую пользу с точки зрения анализа в конкретном наборе данных. Как утверждают разработчики, новинка определяет, по какой причине то или иное событие является аномалией.
One-Stop Anomaly Shop предоставляет аналитикам и исследователям безопасности возможность быстро проверять журналы безопасности, даже если файл журнала безопасности имеет различные типы событий. OSAS самостоятельно помечает различные типы данных в логах, но позволяет и вручную задать правила разметки. Размеченные данные используются для машинного обучения.
One-Stop Anomaly Shop позволяет определить уникальность аномалии, связь её с конкретным событием, сетевым портом или адресом. Всё это позволяет улучшить защиту систем от внешних вторжений. Ведь аномалия может служить сигналом, что хакеры пытаются взломать систему.
Для удобства работы с OSAS предлагается контейнер Docker с поисковой системой Elasticsearch, индексатором Logstash и веб-интерфейсом Kibana. Само приложение написано на Python. Боле подробное описание OSAS доступно в блоге компании.