sem工具

sem工具
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
甲方安全之企业安全自动化工具SeMF分享 FallenAngels2018-06-01现金奖励共388541人围观，发现 23 个不明物体企业安全工具
* 本文作者：FallenAngels，本文属FreeBuf原创奖励计划，未经许可禁止转载

前言：
上一篇文章《“传说中”的甲方安全》发布已经半年的时间，文章结尾说开源自建的安全管理平台，但是一直跳票。我澄清一下，跟领导PK败了，所以原始版本是不让开源的，用了半年时间，我这边新写了一套企业安全管理框架(SecurityManageFramwork)，简称SeMF，相对于原始版本，各有优劣吧，原始版本功能较多，但是整个系统高度定制化，通用性较小；新版本的话功能较少，但从设计开始考虑到不同企业的需求，权限和功能定制化不需要改代码，后台更改变量就可以实现。也说不清哪个更好用，目前已经开源，供各位小伙伴们试用，后续会根据反馈的信息添加功能。

项目地址：https://gitee.com/gy071089/SecurityManageFramwork

项目介绍：
企业内网安全管理平台，包含资产管理，漏洞管理，账号管理，知识库管、安全扫描自动化功能模块，可用于企业内部的安全管理制度落地。本平台旨在帮助安全人员少，业务线繁杂，周期巡检困难，自动化程度低的企业，更好的实现企业内部的安全管理。

功能模块：
SeMF总共有资产管理、网络映射、漏洞管理、任务管理、报表中心、知识共享、用户管理七个通用模块。用于企业安全建设的第一阶段，以下为该系统的结构图和主页面

功能结构2018.5.jpgmain.png1. 资产管理
资产是安全管理的核心，看过好多企业安全管理的文章，基本上第一部分都是公司资产的梳理，确认需要管理的资产并进行资产分级。能看懂代码的就会发现，我们的安全管理平台核心就是资产，其他几个模块都是围绕资产进行扩展的。

该模块的话实现了高度可扩展，可通过管理地址 ip:port/semf/ 对系统内的资产分类，信息归属以及资产属性进行自定义设置，即便不会开发，也可根据自己公司的实际情况进行自定义。确保需要管理的资产不会遗漏。如下图所示定义资产类型，以及资产类型关联属性。该页面仅超级管理员可访问，访问地址也可进行变更。（系统中数据初始化时定义了部分资产和属性，用户可自行修改）

semf.png
设置完成后我们在系统的资产管理界面如下包含资产增删查改、审批，端口扫描，周期巡检（需要添加扫描器）等功能，直接上图，篇幅受限，这里仅显示部分吧：

asset.png2. 网络映射
这一部分单独划分完全是工作需要，我相信大部分公司服务器对外开放都有记录信息收集不难，这个模块与日志分析功能（被阉割了）配套使用的，避免在安全分析中分不清各系统之间的关联产生操作失误，吃过亏。放在1.0版本的里是为了让大家在资产收集过程中一起梳理以下，防止以后二次梳理，反正后边也要用。安全人员可以通过这个页面点击查看所有信息。截图如下：

net.png3. 任务管理
这个模块主要是用于安全扫描的自动化和周期巡检的，目前仅加入了Nessus扫描器，预留AWVS，MobSF两款扫描器，后续会陆续开放，如果需要其他扫描器对接的话可以提交issue，记得提供API文档啊。

这个模块的话不仅可以简介操作Nessus，还可以同步已经创建的任务结果，很实用啊，不需要为了采集数据重新扫描；另一方面，它自带漏洞过滤模块，在后台设置需要过滤的漏洞，比如一些需要降级或者扫描器整改方案不够详细的漏洞。扫描结果同步时会自动更新过滤，扫描报告不需要人工分析了。（说实话，原始版本中包含了系统层，Web应用，移动应用和自建扫描器的周期巡检，但是家里没有测试环境，就没有添加，只留了Nessus，各位大佬可根据自己公司的情况进行添加）

4. 漏洞管理
这个模块就是身在甲方的我最需要的模块，也是这个平台的起点，（想当年，面对N多个业务系统，每次上百各安全漏洞，对每个漏洞修复跟进和复查，着实心累，好不容易修复了，研发给回滚了，都是泪啊），这个模块的话能看到当前所有资产的漏洞和相关信息，便于跟进，待修复漏洞一目了然，而且给业务部门自己建账号的话，他们只能看到自己的漏洞，还算比较实用吧。（我们公司安全，运维，业务各自有账号，这样的话漏洞直接三方看，基本上不会出现你推我，我退你的情况，漏洞不会修的话，我们知识库很全的，具体到操作哪条命令，而且回滚被发现了，直接漏洞重现，很醒目，妈妈再也不用担心我累吐血了，话题貌似跑歪了）

该模块的话，安全管理拥有完全的控制权限，普通用户仅能选择修复还是忽略，权限控制还是比较完善的。

vuln.png 漏洞管理的话第二大亮点就是同步了CNVD漏洞库，目前的话同步了2万多条漏洞信息，可实现本地查询，当然，漏洞信息管理员是可以改的，效果图如下：

cnvd.png5. 报表中心
这个模块的话我只写了资产分类，漏洞分类、分级，高危漏洞统计，近期安全态势等，会开发的童鞋可自己添加，参照我给的图写就行，反正饼图、柱状图，折线图都有了;看不懂代码的话可以加群或者项目下留言，需求多的话我就加上。看图

chart.png6. 知识共享
这个模块可以说是我最喜欢的模块，也是我为什么博客文章很少的原因（刚到公司的时候我自信满满，然后遇到了什么都不懂的业务人员被教做人，简单的问题都要我写个操作指南，具体到执行哪条命令，简直折磨人，我的大好青春就这么白白浪费），系统建成后，直接跟修复指南上传跟漏洞管理，你要是再不会修，那只能找你领导说说了

还有就是如果知识库发表的时候分类是通告类的，会主动给所有用户发送提醒，提醒查看，适用于安全预警和周期巡检。没啥可看的，直接上图，支持富文本：

article.png7. 用户管理
这个模块的话主要是给不会开发的同学准备的，因为不同公司的组织和人员职责不一样，寻找RBAC原则，用户角色和权限可以通过后台自定义，不用动代码也可以调整，当然，这个系统里的信息都很隐私，所有账户加了各审批（默认禁用注册，需要管理员添加信息，然后发邮件给用户，用户才能注册）

整个系统阉割了日志分析、任务管理以及流程管理上的模块，因为这些东西和公司系统依赖比较高，就不开源了，等我找到替代方案，再完善，有建议的小伙伴可以找我联系。

* 本文作者：FallenAngels，本文属FreeBuf原创奖励计划，未经许可禁止转载

FallenAngels
FallenAngels
2 篇文章
等级： 2级
||
上一篇：PwnAuth：OAuth滥用攻击检测和响应平台下一篇：新款zANTI卷土重来：高级移动渗透和安全分析工具包
发表评论已有 23 条评论

Hydraxx (1级) 2018-06-01回复 1楼
稳

亮了(1)

hereinfb (1级) 2018-06-01回复 2楼
有微信群吗大佬

亮了(0)

FallenAngels (2级) 我有一壶酒，足以慰风尘；尽倾江海里，赠饮天下人 2018-06-01回复
@ hereinfb 没有，只有项目中一个群

亮了(0)

weber213 (4级) 2018-06-01回复 3楼
666

亮了(1)

VanceDot (1级) 2018-06-01回复 4楼
好东西，大佬。

亮了(0)

Dreamdroid (4级) 天道酬勤，不是我笨 2018-06-01回复 5楼
6666666666666666666666666

亮了(0)

myzdsec 认证厂商(1级) 2018-06-01回复 6楼
大佬你的Outlook账号是真的啊！！！

亮了(1)

FallenAngels (2级) 我有一壶酒，足以慰风尘；尽倾江海里，赠饮天下人 2018-06-01回复
@ myzdsec 嘛，这个邮箱确实是真的。你要社工我吗

亮了(1)

10086 2018-06-01回复 7楼
好东西，膜拜大佬

亮了(1)

悲催 2018-06-01回复 8楼
:grin: 大佬66666

亮了(0)

daozai (4级) 2018-06-01回复 9楼
能不能来个Windows一键配置版本的 = =

亮了(0)

FallenAngels (2级) 我有一壶酒，足以慰风尘；尽倾江海里，赠饮天下人 2018-06-01回复
@ daozai 目前没有这个打算，后期可能会有docker或者linux一键安装的

亮了(1)

PINGX 2018-06-11回复
@ FallenAngels linux或者docker是好方向，你可以借鉴巡风，他们一开始也是安装很麻烦，常常报错，最后选择了docker封装好的镜像，和shell自动部署脚本，这个项目确实是好项目，集合cnvd的库也是好想法，感谢您无私分享的精神，谢谢

亮了(1)

thief.A 2018-06-02回复 10楼
很好，可以一锅端了

亮了(0)

FallenAngels (2级) 我有一壶酒，足以慰风尘；尽倾江海里，赠饮天下人 2018-06-02回复
@ thief.A 嘛，安全风险集中管理，同样会有风险，入内网先找类似的系统。但是换个角度，作为人少事多的大型企业，安全部门连自己的系统都保护不好，集不集中已经无所谓了，这个平台可以视为最高安全级别的信息系统，所有的安全方案都可以以这个为试点，进而进行推广。这方面就看企业安全部门的本事了。

亮了(0)

周红衣 2018-06-02回复 11楼
搭建半天，各种报错啊，老哥

亮了(0)

FallenAngels (2级) 我有一壶酒，足以慰风尘；尽倾江海里，赠饮天下人 2018-06-02回复
@ 周红衣嘛，项目里提供了安装手册和解决问题的方式，还有就是确认代码来源，目前发现好几个版本。文章中的代码是我上传的唯一源

亮了(0)

Blackyq (1级) 2018-06-03回复 12楼
收藏一波在说，感觉以后会用到感谢大佬分享

亮了(0)

epstar (1级) 2018-06-04回复 13楼
最近我也正在写这样一个系统，主要的一些功能基本相同，写了大概一半，只是最近事比较多，暂时停下来了，今天没想到看到同样的东西，有空可以交流一下，我是用golang开发的，没用框架~~~

亮了(0)

hamdell (1级) 2018-06-05回复 14楼
layui

亮了(0)

pointzhao (1级) 懒得写！ 2018-06-05回复 15楼
刚测试完同程的巡风，看到你这个感觉比巡风还好用，继续下载安装测试。吸取精华，有空搞个适合自己团队使用的。

亮了(1)

路人甲 2018-06-05回复 16楼
能导入第三方扫描结果么，先下载下来学习一波

亮了(0)

神奇de小黄瓜 (1级) 2018-08-17回复 17楼
是个好东西，刚刚测试了很不错

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
FallenAngels
FallenAngels

我有一壶酒，足以慰风尘；尽倾江海里，赠饮天下人

2
文章数
15
评论数
最近文章
甲方安全之企业安全自动化工具SeMF分享
2018.06.01

话题讨论 | “传说中”的甲方安全
2017.12.18

浏览更多
相关阅读
如何通过Kibana、Wazuh和Bro IDS提高中小企业的威胁检测能力？做源头上的安全：内建安全源码保障【企业安全报告解读】IBM：率先建立数字免疫系统，防御网络安全风险全球网络战正在升温：为什么企业应该担心？eUKhost被巴基斯坦黑客团队UrduHack入侵
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

sem工具

文章评论