0成本监控方案--企业办公网中谁安装了openclaw
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内。首先,我得仔细阅读文章,理解其主要内容和重点。 文章主要讲的是企业内部使用OpenClaw工具带来的安全风险。安全组决定使用Suricata这个开源IDS解决方案来监控异常工具的使用。文章详细介绍了如何安装Npcap和Suricata,并提供了自定义规则来检测OpenClaw的各种行为,比如内网访问、外联行为以及官网访问等。 接下来,我需要将这些信息浓缩到100字以内。要抓住关键点:企业安全、OpenClaw的风险、监控方案、Suricata的安装和配置、自定义规则的作用。 可能的结构是:企业内部使用OpenClaw存在风险,安全组制定监控方案,采用Suricata进行流量监控,安装步骤包括Npcap和Suricata,并配置自定义规则检测相关行为。 这样就能在有限的字数内准确传达文章的核心内容了。 </think> 文章介绍了一种基于开源IDS解决方案Suricata的企业内部工具监控方案,用于检测和防范OpenClaw工具的使用风险。通过安装Npcap和配置Suricata,结合自定义规则,实时监控内网中OpenClaw的安装、访问及外联行为,保障办公网络安全。 2026-3-17 02:11:58 Author: www.freebuf.com(查看原文) 阅读量:1 收藏

freeBuf

主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

前言

近期 OpenClaw(小龙虾)在企业内部使用热度较高,部分员工自行安装并运行,存在较高的安全风险与合规隐患。

针对这一情况,根据领导决策,由安全组牵头制定办公网异常工具监控方案。结合当前环境,我优先推荐采用开源 IDS 解决方案 Suricata实现流量监控与行为检测,可实时识别内网中 OpenClaw 的安装、访问及外联行为,及时定位风险终端,保障办公网络安全。

Npcap的安装

Suricata 抓包依赖 Npcap(推荐,替代老旧 WinPcap)。

下载 Npcap:https://npcap.com/#download

1773646775_69b7b3b7d1cf3bff6ec28.png!small?1773646776342

安装:

  1. 勾选 Install Npcap in WinPcap API-compatible Mode(关键兼容)
  2. 勾选 Support loopback traffic(可选,方便本地测试)
  3. 完成后重启电脑

suricata的安装

下载全量安装包,打包好的二进制文件

访问https://www.openinfosecfoundation.org/download/windows/,下载最新的8.0.3版本的suricata

1773646936_69b7b4589fa8a8d9681bd.png!small?1773646937129

安装

点击双击Suricata-8.0.3-1-64bit.msi,直至安装完成

验证安装

cd  C:\Program Files\Suricata

suricata.exe  -v  #查看版本

1773647262_69b7b59e63a5d07bb927e.png!small?1773647264434

删除禁用不必要的文件

删除C:\Program Files\Suricata\rules下所有的rules

1773647360_69b7b600869ef8d32b7b6.png!small?1773647364892

自定义规则

使用notepad--新建txt文件名为openclaw-detect.rules.txt,内容为

alert tcp $HOME_NET any -> any 18789 (msg:"OpenClaw Gateway 内网访问(18789)"; flow:established,to_server; classtype:policy-violation; sid:2000001; rev:1;)
alert tcp $HOME_NET any -> any 18789 (msg:"OpenClaw WebSocket 握手"; flow:established,to_server; content:"GET"; http.method; content:"/ws"; http.uri; content:"Upgrade: websocket"; http.header; content:"Connection: Upgrade"; http.header; classtype:policy-violation; sid:2000002; rev:1;)
alert tcp $HOME_NET any -> any 18789 (msg:"OpenClaw 公网暴露(18789)"; flow:established,to_server; classtype:trojan-activity; sid:2000003; rev:1;)
alert tcp $HOME_NET any -> any 18789 (msg:"OpenClaw 特征UA/关键词"; flow:established,to_server; content:"OpenClaw"; nocase; content:"ClawGateway"; nocase; classtype:policy-violation; sid:2000004; rev:1;)
alert tls $HOME_NET any -> any any (msg: "OpenClaw 官网访问";tls_sni; content:"openclaw.ai";nocase; flow:to_server;classtype:policy-violation;sid:2026031601; rev:1;)
alert tls $HOME_NET any -> any any (msg: "OpenClawAPI访问";tls_sni; content:"api.openclaw.ai";nocase;flow:to_server;classtype:policy-violation;sid:2026031602; rev:1;)
alert tls $HOME_NET any -> any any (msg: "OpenClaw文档访问";tls_sni; content:"docs.openclaw.ai";nocase;flow:to_server;classtype:policy-violation;sid:2026031603; rev:1;)
alert tls $HOME_NET any -> any any (msg: "有人访问了github上的OpenClaw";tls_sni; content:"github.com/openclaw";nocase; flow:to_server;classtype:policy-violation;sid:2026031604; rev

已在FreeBuf发表 0 篇文章

本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)


文章来源: https://www.freebuf.com/articles/es/473767.html
如有侵权请联系:admin#unsafe.sh