Joas Antonio - 100 инструментов для SOC-аналитиков

100 инструментов
для SOC-аналитиков
Joas Antonio

ПЕРЕВОД ЭНТУЗИАСТА -

Информационная Безопасность
Telegram: @Ent_TranslateIB
Instagram: @Ent_Translate

Sooty
• Sooty - это инструмент, разработанный с
целью помочь SOC-аналитикам
автоматизировать часть их рабочего
процесса. Одной из целей Sooty является
выполнение как можно большего количества
рутинных проверок, позволяя аналитику
уделять больше времени более глубокому
анализу. Подробную информацию о многих
функциях Sooty можно найти по ссылке ниже.
• https://github.com/TheresAFewConors/Sooty

Peepdf
• peepdf - это Python-инструмент для исследования
PDF-файлов с целью выяснить, может ли файл быть
опасным или нет. Цель этого инструмента предоставить все необходимые детали, которые
могут понадобиться исследователю безопасности
при анализе PDF-файлов. С помощью peepdf
можно увидеть все объекты в документе,
показывающие подозрительные элементы, он
поддерживает наиболее используемые фильтры и
кодировки, может анализировать различные
версии файла, потоки объектов и зашифрованные
файлы. При установке PyV8 и Pylibemu он также
предоставляет обертки для анализа Javascript и
шеллкода. Кроме того, он способен создавать
новые PDF-файлы, изменять существующие и
обфусцировать их.
• https://eternal-todo.com/tools/peepdf-pdf-analysistool

PyREBox
• PyREBox - это песочница для реверс инжиниринга с поддержкой
сценариев на языке Python. Она основана на QEMU и призвана помочь
исследователям, предоставляя возможности динамического анализа и
отладки с иной точки зрения. PyREBox позволяет исследовать
запущенную VM QEMU, модифицировать ее память или регистры, а
также инструментировать ее выполнение, создавая простые скрипты на
языке Python для автоматизации любого вида анализа. Кроме того, в
состав PyREBox входит оболочка на базе IPython, предоставляющая
богатый набор команд, а также Python API.
• https://talosintelligence.com/pyrebox

Fail2Ban
• Fail2ban сканирует лог-файлы (например, /var/log/apache/error_log) и блокирует IP-адреса,
которые демонстрируют признаки вредоносности - слишком частое неправильное
введение пароля, попытки эксплуатации и т.д. Обычно Fail2Ban используется для
обновления правил брандмауэра, чтобы заблокировать IP-адреса на определенное время,
хотя можно настроить и любое другое произвольное действие (например, отправку
электронного письма). Из коробки Fail2Ban поставляется с фильтрами для различных
сервисов (apache, courier, ssh и т.д.).
• Fail2Ban способен снизить количество неверных попыток аутентификации, однако он не
может устранить риск, который представляет собой слабая аутентификация. Если вы
действительно хотите защитить сервисы, настройте их на использование только
двухфакторных или публичных/приватных механизмов аутентификации.
• https://www.fail2ban.org/wiki/index.php/Main_Page

OSSEC
• OSSEC - это полноценная платформа для мониторинга и контроля
ваших систем. Она объединяет все аспекты HIDS (обнаружение
вторжений на хосте), мониторинга журналов и SIM/SIEM в простом,
мощном решении с открытым исходным кодом.
• https://github.com/ossec/ossec-hids
• https://www.ossec.net/

RKHunter и CHRookit
• http://rkhunter.sourceforge.net/

• http://chkrootkit.org/

Process Hacker
• Process Hacker, бесплатный, мощный, многоцелевой инструмент,
позволяющий контролировать системные ресурсы, отлаживать
программное обеспечение и обнаруживать вредоносные программы.
• https://processhacker.sourceforge.io/downloads.php

Splunk
• Ее программное обеспечение позволяет собирать, индексировать и
коррелировать данные в режиме реального времени в хранилище с
возможностью поиска на основе которого можно создавать графики, отчеты,
алерты, информационные панели и визуализации. Splunk использует
машинные данные для выявления закономерностей в данных, получения
метрик, диагностики проблем и предоставления аналитических данных для
бизнес-операций. Splunk - это горизонтальная технология, используемая для
управления приложениями, обеспечения безопасности и соответствия
нормативным требованиям, а также для бизнеса и веб-аналитики.
• https://www.splunk.com/

Wazuh
• Wazuh - это бесплатное решение
для мониторинга безопасности с
открытым исходным кодом,
предназначенное для
обнаружения угроз, контроля
целостности, реагирования на
инциденты и обеспечения
соответствия нормативным
требованиям.
• https://wazuh.com/

TheHive
• Масштабируемая бесплатная платформа реагирования на инциденты
информационной безопасности с открытым исходным кодом, тесно
интегрированная с MISP (Malware --">