原文链接:https://www.blueteamsacademy.com/top20/
在这个模块中,我们将探索每个蓝队成员都应该拥有的 TOP 20 开源工具:
The Hive
TheHive 是一个可扩展的 4 合 1 开源和免费安全事件响应平台,旨在让 SOC、CSIRT、CERT 和任何处理需要迅速调查和采取行动的安全事件的信息安全从业人员的生活更轻松。感谢我们强大的免费和开源分析引擎Cortex ,您可以使用 100 多个分析器大规模分析(和分类)可观察对象。
其官网:https ://thehive-project.org
OSSIM
OSSIM 是一个开源安全信息和事件管理系统 (SIEM)。它是在 2003 年开发的。该项目后来被 AT&T 收购。
您可以从这里下载:https ://cybersecurity.att.com/products/ossim
The HELK
如果您从事威胁搜寻,那么您可能听说过 HELK 项目。HELK 由 Roberto Rodriguez ( Cyb3rWard0g ) 在 GPL v3 许可下开发。该项目是基于 ELK 堆栈以及其他有用的工具(如 Spark、Kafka 等)构建的。
其官网:Cyb3rWard0g/HELK: The Hunting ELK – GitHub
Nmap
扫描是每次攻击操作中必需的步骤之一。收集有关目标的信息后,您需要继续进行扫描的另一个步骤。如果你对信息安全感兴趣,你的武器库中应该有 Nmap。Nmap(Network mapper 的缩写)是最强大的网络扫描器。它是免费和开源的。由于其提供的脚本,除了其他功能外,它还使您能够执行不同类型的网络扫描。此外,您可以编写自己的 NSE 脚本。
Volatility
内存恶意软件分析广泛用于数字调查和恶意软件分析。它是指在执行恶意软件后从目标机器分析转储的内存映像的行为,以获得包括网络信息、运行进程、API 挂钩、内核加载模块、Bash 历史记录等在内的多个工件。Volatility 是最合适的工具要做到这一点。它是由波动性基金会开发的开源项目。它可以在 Windows、Linux 和 MacOS 上运行。Volatility 支持不同的内存转储格式,包括 dd、Lime 格式、EWF 和许多其他文件。
您可以从这里下载 Volatility:https ://github.com/volatilityfoundation/volatility
Demisto 社区版
安全编排、自动化和响应或简称 SOAR 是非常有效的平台和工具,可通过自动化许多重复的安全任务来避免分析师疲劳。最知名的平台之一是 Demisto。该平台还提供了许多免费的剧本。
您可以从这里下载社区版:https ://www.demisto.com/community/
Wireshark
通信和网络对每个现代组织都至关重要。确保组织的所有网络安全是一项关键任务。帮助您监控网络的最合适的工具绝对是 Wireshark。Wireshark 是一款免费的开源工具,可帮助您分析具有深度检测功能的网络协议。它使您能够执行实时数据包捕获或离线分析。它支持许多操作系统,包括 Windows、Linux、MacOS、FreeBSD 和更多系统。
你可以从这里下载它:https ://www.wireshark.org/download.html
Atomic Red Team
Atomic __Red Team__ 允许每个 __security 团队__ 通过执行简单的“原子测试”来测试他们的控制,这些测试执行对手使用的相同 __techniques__(都映射到Mitre 的 ATT&CK)
其官网:https ://github.com/redcanaryco/atomic-red-team
Caldera
另一个威胁模拟工具是 Caldera。
CALDERA 是一个 __automated__ 对抗仿真系统,可在 __WindowsEnterprise__ 网络中执行攻击后对抗行为。它在操作期间使用计划系统和基于对抗战术、技术和常识(ATT&CK™) 项目的预配置对手模型生成计划。
其官网:https ://github.com/mitre/caldera
Suricata
入侵检测系统是一组设备或软件,它们在现代组织中发挥着巨大的作用,以防御入侵和恶意活动。基于网络的入侵检测系统的作用是通过监控入站和出站流量来检测网络异常。最常用的 IDS 之一是 Suricata。Suricata 是由开放信息安全基金会 ( OISF )开发的开源 IDS/IPS
Zeek(以前的 Bro IDS)
Zeek 是最受欢迎和最强大的 NIDS 之一。泽克以前是兄弟认识的。这个网络分析平台得到了一个庞大的专家社区的支持。因此,它的文档非常详细和良好。
OSSEC
OSSEC 是一个强大的基于主机的入侵检测系统。它提供基于日志的入侵检测 (LID)、Rootkit 和恶意软件检测、合规性审计、文件完整性监控 (FIM) 和许多其他功能。
OSQuery
OSQuery 是一个由许多操作系统支持的框架,以便使用简单的查询来执行系统分析和监控。它使用 SQL 查询。
AccessData FTK Imager
取证成像是数字取证中的一项非常重要的任务。成像是在确保数据完整性且不遗漏文件的情况下仔细复制数据,因为保护证据并确保其得到妥善处理非常关键。这就是普通文件复制和映像之间存在差异的原因。成像正在捕获整个驱动器。在对驱动器进行映像时,分析人员对包括主引导记录在内的整个物理卷进行映像。使用的工具之一是“AccessData FTK Imager”。
其官网:https ://accessdata.com/product-download/ftk-imager-version-4-2-0
Cuckoo
恶意软件分析是确定给定恶意软件样本(例如病毒、蠕虫、特洛伊木马、rootkit 或后门)的功能、来源和潜在影响的艺术。作为恶意软件分析师,我们的主要职责是收集有关恶意软件的所有信息,并对受感染机器发生的情况有一个很好的了解。最著名的恶意软件沙箱是布谷鸟。
MISP
恶意软件信息共享平台或简称 MISP 是一个开源威胁共享平台,分析师可在此协作并共享有关他们之间最新威胁的信息。该项目由 Christophe Vandeplas 开发,采用 GPL v3 许可。
其官网:https ://www.misp-project.org
Ghidra
另一个伟大的逆向工程工具是 Ghidra。该项目是开源的,由国家安全局研究局维护。Ghidra 使您能够分析不同的文件格式。它支持 Windows、Linux 和 MacOS。您需要安装 Java 才能运行它。该项目附带许多有用的详细培训、文档和备忘单。此外,它还使您能够使用 Java 或 Python 开发自己的插件。
它的官方网站是: http: //ghidra-sre.org
Snort
另一个强大的基于网络的入侵检测系统是 Snort。该项目非常强大,已开发超过 500 万次。因此,它有据可查,并且得到了庞大的网络安全专家社区的支持。
其官方网站:https ://www.snort.org
Security Onion
如果您正在寻找包含许多前面讨论过的工具的即用型操作系统,您只需下载 Security Onion。IT 是一个免费的开源 Linux 发行版,用于入侵检测、企业安全监控和日志管理。
其官网:https ://github.com/Security-Onion-Solutions/security-onion