开源的企业级主机与容器安全管理平台
工具介绍
开源的企业级主机与容器安全管理平台。覆盖安全基线、资产管理、漏洞扫描、病毒查杀、EDR 检测与合规审计,面向安全运营团队提供统一管控视图。
社区版说明
MxCwpp Platform社区版包含完整的平台框架和全部核心安全能力,与内部版本架构一致。社区版完全免费,无需授权即可部署使用。当前已开源的能力主要包括:
- 全部端上能力:Agent 数据采集、资产指纹、eBPF 运行时探针、基线检查插件等;
- 全部后端能力:AgentCenter、Manager、Consumer、服务发现,均支持水平扩展;
- 完整管理控制台:安全概览、资产中心、告警管理、基线检查、漏洞管理、容器安全等全功能 UI;
- 内置检测规则:212 条 CIS 基线规则、80 条容器基线规则、CEL EDR 检测策略样例。
功能概览
| 模块 | 说明 |
|---|---|
| 安全基线 | 9 种检查器、212 条规则,覆盖 CIS Benchmark 核心项,支持单机/批量自动修复 |
| 资产中心 | 11 类资产采集(进程、端口、用户、软件包、容器等),关系计算与资产导出 |
| 漏洞管理 | 软件包 PURL 采集 + OSV.dev 匹配 + CVSS v3.1 评分 + SBOM 导出 |
| 病毒查杀 | ClamAV + YARA-X 双引擎扫描,任务管理 + 隔离箱处置 |
| 文件完整性 | 基于 AIDE 的 FIM 检查,策略、事件、任务全链路闭环 |
| EDR 检测 | Tetragon/eBPF 事件采集 + CEL 规则引擎 + MITRE ATT&CK 映射 |
| 容器安全 | K8s 集群管理、容器 CIS 基线(80 条规则)、Audit Webhook 接入 |
| 告警中心 | 告警聚合、白名单、自动响应(kill/隔离)、溯源时间线 |
| 威胁情报 | MISP IOC 导入 + Redis 缓存 + CEL 实时碰撞 |
| 内存取证 | memfd_exec / 进程镂空 / shellcode 注入 / LSASS dump 检测(EDR-3) |
| AD/LDAP 审计 | 7 条检测规则:DCSync、Kerberoasting、暴力破解、非工时 RDP、特权分配等(EDR-4) |
| 蜜罐传感器 | SSH/HTTP 蜜罐 + 文件诱饵 + 合法备份工具白名单(C1) |
| Rootkit 检测 | DKOM 隐藏 PID / 内核模块 / 端口 / LD_PRELOAD / /proc 不一致(C2) |
| 威胁狩猎 | SPL 风格 DSL → SQL 转译,跑在 ClickHouse 事件归档上 |
| VEX 导出 | CycloneDX VEX 1.5 + CSAF 2.0 给客户出具厂商漏洞声明(B7) |
产品截图
工具下载
https://github.com/matrixplusio/mxcwpp/tree/main