Joas Antonio - 100 инструментов для SOC-аналитиков

Information Sharing Platform),
призванная облегчить жизнь SOC, CSIRT, CERT и любых специалистов по
информационной безопасности, имеющих дело с инцидентами
безопасности, требующими оперативного расследования и принятия
необходимых мер.
• https://thehive-project.org/

Security Onion
• Их продукты включают в себя как программное обеспечение Security
Onion, так и специализированные аппаратные устройства, созданные и
протестированные для работы Security Onion. Их устройства позволят
вам и вашим сотрудникам сэкономить время, ресурсы и
сосредоточиться на обеспечении безопасности вашей организации.
• https://securityonionsolutions.com/

Caine
• CAINE (Computer Aided INvestigative Environment) - итальянский liveдистрибутив GNU/Linux, созданный как проект в области цифровой
криминалистики.
• https://www.caine-live.net/

CALDERA
Что делает CALDERA?
• CALDERA помогает специалистам по кибербезопасности сократить количество времени и ресурсов, необходимых для
рутинного тестирования кибербезопасности.
• CALDERA расширяет возможности киберкоманд по трем основным направлениям:

Эмуляция автономных противников
• С помощью CALDERA ваша киберкоманда может создать профиль конкретной угрозы (противника) и запустить его в
сеть, чтобы увидеть, где вы можете быть уязвимы. Это помогает при тестировании средств защиты и обучении синих
команд способам обнаружения конкретных угроз.

Автономное реагирование на инциденты
• Позволяет вашей команде выполнять автоматическое реагирование на инциденты на конкретном узле, что
позволяет находить новые способы выявления и реагирования на угрозы.

Ручная работа с красной командой
• Помогает красной команде выполнять ручную оценку с помощью компьютера, дополняя существующие наборы
инструментов для наступательных операций. Фреймворк может быть дополнен любыми пользовательскими
инструментами.
• https://caldera.mitre.org/

Atomic Red Team

https://atomicredteam.io/

Metta
Metta - это инструмент для обеспечения готовности к защите информации.
В данном проекте используется Redis/Celery, python и vagrant с virtualbox для
моделирования действий противника. Это позволяет тестировать (в основном)
инструментарий, основанный на хосте, но также может позволить тестировать
любые сетевые средства обнаружения и контроля, в зависимости от того, как вы
настроите vagrant.
Проект анализирует yaml-файлы с действиями и использует celery для
постановки этих действий в очередь и их одновременного выполнения без
взаимодействия.
https://github.com/uber-common/metta

OSSIM
• AlienVault® OSSIM™, Open Source Security Information and Event Management
(SIEM), предоставляет вам многофункциональный SIEM с открытым исходным
кодом, включающий в себя сбор, нормализацию и корреляцию событий.
AlienVault OSSIM, созданный инженерами по безопасности из-за отсутствия
доступных продуктов с открытым кодом, был создан специально для решения
проблемы, с которой сталкиваются многие специалисты по безопасности:
SIEM, будь она с открытым исходным кодом или коммерческая, практически
бесполезна без базовых средств контроля безопасности, необходимых для
обеспечения видимости безопасности.
• https://cybersecurity.att.com/products/ossim

Prelude
• Prelude - это универсальная система управления информацией и событиями
безопасности (SIEM). Prelude собирает, нормализует, сортирует, агрегирует,
коррелирует и сообщает обо всех событиях, связанных с безопасностью,
независимо от марки продукта или лицензии, породивших эти события;
Prelude является "безагентной" системой.
• Помимо того, что Prelude способен восстанавливать любые типы журналов
(системные журналы, syslog, flat файлы и т.д.), он имеет встроенную поддержку
ряда систем, предназначенных для дополнительного обогащения информации
(snort, samhain, ossec, auditd и т.д.).
• https://www.prelude-siem.org/

Nagios
• Nagios XI обеспечивает мониторинг всех критически важных
компонентов инфраструктуры, включая приложения, сервисы,
операционные системы, сетевые протоколы, системные метрики и
сетевую инфраструктуру. Сотни сторонних аддонов обеспечивают
мониторинг практически всех внутренних и внешних приложений,
сервисов и систем.
• https://www.nagios.org/

Zabbix

• https://www.zabbix.com/network
_monitoring

Icinga
• Находите ответы, действуйте и решайте проблемы. Будьте гибкими и
выбирайте свои собственные пути. Будьте любознательны, увлечены,
будьте в курсе событий. Решайте задачи по мониторингу.
• https://icinga.com/

Helk
• Hunting ELK или просто HELK - одна из
первых открытых платформ для
хантинга с --">