开源的企业级主机与容器安全管理平台

开源的企业级主机与容器安全管理平台

工具介绍

开源的企业级主机与容器安全管理平台。覆盖安全基线、资产管理、漏洞扫描、病毒查杀、EDR 检测与合规审计,面向安全运营团队提供统一管控视图。

社区版说明

MxCwpp Platform社区版包含完整的平台框架和全部核心安全能力,与内部版本架构一致。社区版完全免费,无需授权即可部署使用。当前已开源的能力主要包括:

  • 全部端上能力:Agent 数据采集、资产指纹、eBPF 运行时探针、基线检查插件等;
  • 全部后端能力:AgentCenter、Manager、Consumer、服务发现,均支持水平扩展;
  • 完整管理控制台:安全概览、资产中心、告警管理、基线检查、漏洞管理、容器安全等全功能 UI;
  • 内置检测规则:212 条 CIS 基线规则、80 条容器基线规则、CEL EDR 检测策略样例。

功能概览

模块说明
安全基线9 种检查器、212 条规则,覆盖 CIS Benchmark 核心项,支持单机/批量自动修复
资产中心11 类资产采集(进程、端口、用户、软件包、容器等),关系计算与资产导出
漏洞管理软件包 PURL 采集 + OSV.dev 匹配 + CVSS v3.1 评分 + SBOM 导出
病毒查杀ClamAV + YARA-X 双引擎扫描,任务管理 + 隔离箱处置
文件完整性基于 AIDE 的 FIM 检查,策略、事件、任务全链路闭环
EDR 检测Tetragon/eBPF 事件采集 + CEL 规则引擎 + MITRE ATT&CK 映射
容器安全K8s 集群管理、容器 CIS 基线(80 条规则)、Audit Webhook 接入
告警中心告警聚合、白名单、自动响应(kill/隔离)、溯源时间线
威胁情报MISP IOC 导入 + Redis 缓存 + CEL 实时碰撞
内存取证memfd_exec / 进程镂空 / shellcode 注入 / LSASS dump 检测(EDR-3)
AD/LDAP 审计7 条检测规则:DCSync、Kerberoasting、暴力破解、非工时 RDP、特权分配等(EDR-4)
蜜罐传感器SSH/HTTP 蜜罐 + 文件诱饵 + 合法备份工具白名单(C1)
Rootkit 检测DKOM 隐藏 PID / 内核模块 / 端口 / LD_PRELOAD / /proc 不一致(C2)
威胁狩猎SPL 风格 DSL → SQL 转译,跑在 ClickHouse 事件归档上
VEX 导出CycloneDX VEX 1.5 + CSAF 2.0 给客户出具厂商漏洞声明(B7)

产品截图

工具下载

https://github.com/matrixplusio/mxcwpp/tree/main