1、用户能够快速构建尽可能接近生产环境的小型安全实验基础设施; 2、Splunk Attack Range使用了不同的引擎(例如Atomic Red Team or Caldera)执行模拟攻击测试,以生成真实的攻击测试数据; 3、该工具支持无缝集成到任何持续集成/持续交付(CI/CD)管道中,以自动化的形式实现检测规则测试过程;
1、Windows域控制器; 2、Windows服务器; 3、Windows工作站; 4、Kali Linux设备; 5、Splunk服务器; 6、Splunk SOAR服务器; 7、Nginx服务器; 8、Linux服务器; 9、Zeek服务器;
Windows Event Logs (index = win) Sysmon Logs (index = win) Powershell Logs (index = win) Aurora EDR (index = win) Sysmon for Linux Logs (index = unix) Nginx logs (index = proxy) Network Logs with Splunk Stream (index = main) Attack Simulation Logs from Atomic Red Team and Caldera (index = attack)
Docker使用
docker pull splunk/attack_rangedocker run -it splunk/attack_rangeaws configurepython attack_range.py configurepython attack_range.py configurepython attack_range.py buildpython attack_range.py packer --image_name windows-2016python attack_range.py showpython attack_range.py simulate -e ART -te T1003.001 -t ar-win-ar-ar-0python attack_range.py simulate -e PurpleSharp -te T1003.001 -t ar-win-ar-ar-0python attack_range.py destroypython attack_range.py stoppython attack_range.py resumepython attack_range.py dump --file_name attack_data/dump.log --search 'index=win' --earliest 2hpython attack_range.py replay --file_name attack_data/dump.log --source test --sourcetype test原文始发于微信公众号(FreeBuf):Splunk Attack Range:一款针对Splunk安全的模拟测试环境创建工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论