在此背景下,前期各项准备工作是否充分将直接决定蓝队能否顺利完成攻击防守的任务,所谓“工欲善其事,必先利其器”,在攻防演练活动中,积极使用先进的安全评估和防御工具,往往能起到事半功倍的效果,极大提升蓝队的工作效率。以下梳理了目前在全球攻防演练活动中,较受蓝队组织欢迎的6款开源防御工具,并对其应用特点进行了简要分析。
此外,Arkime还可以同时部署在许多系统上,并且可以扩展到每秒处理数十千兆比特的流量。PCAP对数据的处理能力是基于传感器的可用磁盘空间和Elasticsearch集群的规模,这两个资源数量都可以根据需要进行扩展,并且完全由管理员控制。
根据其主页介绍,Snort有三个主要用例:
• 包跟踪;
• 包日志记录(对网络流量调试很有用);
• 网络入侵防御系统;
为了检测网络上的入侵和恶意活动,Snort有三组全局规则:
• 社区用户规则:任何用户都可以使用的规则,无需任何成本和注册;
• 针对注册用户的规则:通过注册Snort,用户可以访问一组经过优化的规则,以识别更具体的威胁;
• 订阅者规则:这组规则不仅允许更准确的威胁识别和优化,而且还具有接收威胁更新的能力;
TheHive的高效性主要体现在以下三个方面:
• 协作:该平台促进了安全运营中心(SOC)和计算机应急响应小组(CERT)分析师之间的实时协作,可以将正在进行的调查整合到案件、任务和观察事项中;
• 精确化:该工具通过高效的模板引擎简化了用例和相关任务的创建。用户可以通过仪表板自定义指标和字段,并且该平台支持标记包含恶意软件或可疑数据的基本文件;
• 性能:为创建的每个案例添加一个到数千个可观察对象,包括直接从MISP事件或发送到平台的任何警报导入它们的选项,以及可定制的分类和过滤器。
GRR客户端部署在用户想要调查的系统上。在这些系统上,一旦部署完成,GRR客户端就会定期轮询GRR前端服务器,以验证它们是否正在工作。“工作”意味着执行一些特定的操作:下载一个文件,枚举一个目录,等等。
GRR服务器基础设施由前端、工作器、UI服务器、Fleetspeak等组件组成,并提供基于web的GUI和API端点,允许分析师在客户端上调度操作,并查看和处理收集的数据。
该工具将各种网络安全工具组合成一个统一的威胁搜索和安全分析平台。它的主要组件是Elasticsearch、Logstash和Kibana,它们目前已经被广泛用于日志和数据分析。HELK通过集成额外的安全工具和数据源来扩展ELK堆栈,以增强其威胁检测和事件响应能力。
由于它是独立于平台的,它支持来自各种操作系统的内存转储,包括Windows、Linux和macOS。实际上,Volatility还可以分析来自虚拟化环境的内存转储,例如由VMware或VirtualBox创建的内存转储,从而提供对物理和虚拟系统状态的洞察。
Volatility有一个基于插件的架构——它有一组丰富的内置插件,涵盖了广泛的取证分析,但也允许用户通过添加自定义插件来扩展其功能。
原文始发于微信公众号(苏说安全):攻防演练必备的6款蓝队开源防御工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论