Razorback é um sistema de detecção distribuído, com um conjunto de API robusto e um sistema de gerenciamento de banco de dados totalmente extensível. Ele foi projetado especificamente com as necessidades de alto nível de resposta à incidentes e auxiliando o trabalho das equipes de detecção.
Esse utilitário permite executar um processamento avançado de dados e realizar a detecção de eventos de busca de dados, uma vez que ele atravessa a rede e até mesmo buscar dados de um servidor. Razorback é capaz de realizar a correlação de eventos avançados, uma vez que esta estrutura funciona de forma distribuída. Você pode considerá-lo como o front-end open source Snort NIDS.
Devido ao Razorback trabalhar de forma distribuída, você pode considerá-lo como uma coleção de elementos a atuar em conjunto, onde cada elemento desempenha uma tarefa discreta e são ligados através do Dispatcher. O núcleo é escrito em linguagem C. Os componentes são referidos como "Nuggets", que fornecem uma funcionalidade diferente de maneira individual.
Os tipos de "Nuggets" que estão disponíveis em modo standard (padrão) são os seguintes: Correlation, que interage com banco de dados e realiza atualizações de defesa; Defense Update, que realiza atualizações dinâmicas de vários dispositivos de rede; Workstation, que fornece autenticação e meios para gerenciar os componentes; Data Collection, que faz captura de dados diretamente da rede, além de Data Detection/Analysis que fornece mecanismo de feedback ao Dispatcher; Output, envia dados ao sistema em questão e finalizando, Intelligence, que gera informações que poderiam ser usadas mais tarde para correlacionar eventos.
Ressaltando que o Dispatcher é um dos principais elementos deste framework. É um banco de dados orientado e trata toda a comunicação entre os nuggets. Aos que tiverem interesse em fazer download do Razorback, ele está disponível a partir do SourceForge.
Saiba Mais:
[1] SourceForge http://sourceforge.net/projects/razorbacktm/files/
Mensagem do Sistema