紅藍(lán)對抗之藍(lán)隊(duì)TOP20 工具集(Blue Teamer)
2022-04-29 13:51:22

The Hive

TheHive 是一個(gè)可擴(kuò)展的 4 合 1 開源安全事件響應(yīng)平臺(tái)，可用于 SOC、CSIRT、CERT 或者任何需要迅速調(diào)查的場景。

官網(wǎng)：https://thehive-project.org

?

OSSIM

OSSIM 是一個(gè)開源安全信息和事件管理系統(tǒng) (SIEM)。

官網(wǎng)：https://cybersecurity.att.com/products/ossim

?

The HELK

HELK 由 Roberto Rodriguez (Cyb3rWard0g) 在 GPL v3 許可下開發(fā)。 該項(xiàng)目是基于 ELK 堆棧以及其他有用的工具（如 Spark、Kafka 等）構(gòu)建的。

官網(wǎng)：Cyb3rWard0g/HELK: The Hunting ELK – GitHub

Nmap

?

NMAP用于收集有關(guān)目標(biāo)的信息，是最強(qiáng)大的網(wǎng)絡(luò)掃描器。 它是免費(fèi)和開源的。 同時(shí)可提供豐富的腳本，可執(zhí)行不同類型的網(wǎng)絡(luò)掃描。

官網(wǎng)：https://nmap.org/download.html

?

　　Volatility

內(nèi)存惡意軟件分析廣泛用于數(shù)字調(diào)查和惡意軟件分析。 它是指在執(zhí)行惡意軟件后從目標(biāo)機(jī)器分析轉(zhuǎn)儲(chǔ)的內(nèi)存映像的行為，以獲得包括網(wǎng)絡(luò)信息、運(yùn)行進(jìn)程、API 掛鉤、內(nèi)核加載模塊、Bash 歷史記錄等在內(nèi)的多個(gè)工件。它可以在 Windows、Linux 和 MacOS 上運(yùn)行。 Volatility 支持不同的內(nèi)存轉(zhuǎn)儲(chǔ)格式，包括 dd、Lime 格式、EWF 和許多其他文件。

官網(wǎng)：https://github.com/volatilityfoundation/volatility

?

　　Demisto Community Edition

SOAR工具包括安全編排、自動(dòng)化和響應(yīng)，是非常有效的平臺(tái)和工具，可通過自動(dòng)化許多重復(fù)的安全任務(wù)來提高效率。

官網(wǎng)：https://www.demisto.com/community/

?

Wireshark

Wireshark 是一款免費(fèi)的開源工具，可幫助您分析具有深度檢測功能的網(wǎng)絡(luò)協(xié)議。 它使您能夠執(zhí)行實(shí)時(shí)數(shù)據(jù)包捕獲或離線分析。 它支持許多操作系統(tǒng)，包括 Windows、Linux、MacOS、FreeBSD 和更多系統(tǒng)。

官網(wǎng)：https://www.wireshark.org/download.html

?

Atomic Red Team

Atomic Red Team允許每個(gè)安全團(tuán)隊(duì)通過執(zhí)行簡單的“原子測試”來測試他們的控制，這些測試執(zhí)行黑客使用的相同技術(shù)（都映射到 Mitre 的 ATT&CK）

官網(wǎng)：https://github.com/redcanaryco/atomic-red-team

?

　　Caldera

威脅模擬工具Caldera，CALDERA 是自動(dòng)化對抗仿真系統(tǒng)，可在 Windows企業(yè)網(wǎng)絡(luò)中執(zhí)行攻擊后對抗行為。 它使用基于對抗戰(zhàn)術(shù)、技術(shù)和常識 (ATT&CK?) 項(xiàng)目的計(jì)劃系統(tǒng)和預(yù)先配置的對手模型在操作期間生成計(jì)劃。

官網(wǎng)：https://github.com/mitre/caldera

Suricata

?

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的作用是通過監(jiān)控入站和出站流量來檢測網(wǎng)絡(luò)異常。 最常用的 IDS 之一是 Suricata。 Suricata 是由開放信息安全基金會(huì) (OISF) 開發(fā)的開源 IDS/IPS

官網(wǎng)：https://suricata-ids.org

Zeek (Formely Bro IDS)

?

Zeek 是最受歡迎和最強(qiáng)大的 NIDS 之一。這個(gè)網(wǎng)絡(luò)分析平臺(tái)得到了一個(gè)龐大的專家社區(qū)的支持。 因此，它的文檔非常詳細(xì)和良好。

官網(wǎng)：https://www.zeek.org

?

OSSEC

OSSEC 是一個(gè)強(qiáng)大的基于主機(jī)的入侵檢測系統(tǒng)。 它提供基于日志的入侵檢測 (LID)、Rootkit 和惡意軟件檢測、合規(guī)性審計(jì)、文件完整性監(jiān)控 (FIM) 和許多其他功能。

官網(wǎng)：https://www.ossec.net

?

OSQuery

OSQuery 是一個(gè)由許多操作系統(tǒng)支持的框架，以便使用簡單的查詢來執(zhí)行系統(tǒng)分析和監(jiān)控。 它使用 SQL 查詢。

官網(wǎng)：https://www.osquery.io

?

AccessData FTK Imager

?取證鏡像是數(shù)字取證中的一項(xiàng)非常重要的任務(wù)。 獎(jiǎng)項(xiàng)是在確保數(shù)據(jù)完整性且不遺漏文件的情況下復(fù)制數(shù)據(jù)，因?yàn)楸Ｗo(hù)證據(jù)并確保其得到妥善處理非常關(guān)鍵。 這就是普通文件復(fù)制和鏡像之間存在差異的原因。

官網(wǎng)：https://accessdata.com/product-download/ftk-imager-version-4-2-0

?

Cuckoo

惡意軟件分析是確定給定惡意軟件樣本（例如病毒、蠕蟲、特洛伊木馬、rootkit 或后門）的功能、來源和潛在影響的技術(shù)。

官網(wǎng)：https://cuckoo.sh/blog/

MISP

?

惡意軟件信息共享平臺(tái)或簡稱 MISP 是一個(gè)開源威脅共享平臺(tái)，分析師可以在其中協(xié)作并共享有關(guān)他們之間最新威脅的信息。 該項(xiàng)目由 Christophe Vandeplas 開發(fā)，采用 GPL v3 許可。

官網(wǎng)：https://www.misp-project.org

?

Ghidra

逆向工程工具 Ghidra是開源的，由美國國家安全局研究局維護(hù)。 Ghidra 能夠分析不同的文件格式。 它支持 Windows、Linux 和 MacOS。需要安裝 Java 才能運(yùn)行它。

官網(wǎng)：http://ghidra-sre.org

?

Snort

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)Snort得到了龐大的網(wǎng)絡(luò)安全專家社區(qū)的支持。

官方網(wǎng)站：https://www.snort.org

?

Security Onion

即用型操作系統(tǒng) Security Onion， 是一個(gè)免費(fèi)的開源 Linux 發(fā)行版，用于入侵檢測、企業(yè)安全監(jiān)控和日志管理。

官網(wǎng)：https://github.com/Security-Onion-Solutions/security-onion