Joas Antonio - 100 инструментов для SOC-аналитиков

расширенными
возможностями аналитики, такими как
декларативный язык SQL, построение
графиков, с труктурированные потоки
и даже машинное обучение с помощью
блокнотов Jupyter и Apache Spark
поверх стека ELK. Этот проект
разрабатывался в первую очередь для
исследований, но благодаря гибкому
дизайну и основным компонентам он
может быть развернут в более крупных
средах при правильных
конфигурациях и масштабируемой
инфраструктуре.
• https://github.com/Cyb3rWard0g/H
ELK

CimSweep
• CimSweep - это набор инструментов на базе CIM/WMI, позволяющий
удаленно выполнять операции по реагированию на инциденты и поиску
информации на всех версиях Windows. CimSweep также может
использоваться для ведения наступательной разведки без
необходимости сброса полезной нагрузки на диск. Windows
Management Instrumentation устанавливается и работает по умолчанию
начиная с Windows XP и Windows 2000 и полностью поддерживается в
последних версиях Windows, включая Windows 10, Nano Server и Server
2016.
• https://github.com/PowerShellMafia/CimSweep

PowerForensics
• Цель PowerForensics - создать универсальную систему для
криминалистического анализа жестких дисков. В настоящее время
PowerForensics поддерживает файловые системы NTFS и FAT, начата
работа над поддержкой Extended File System и HFS+.
• https://github.com/Invoke-IR/PowerForensics

RedLine
• Redline®, основное бесплатное средство защиты конечных точек от компании FireEye, предоставляет пользователям
возможности по исследованию хоста для поиска признаков вредоносной активности путем анализа памяти и
файлов, а также составления профиля оценки угроз.

С помощью Redline вы можете:
• Тщательный аудит и сбор всех запущенных процессов и драйверов из памяти, метаданных файловой системы,
данных реестра, журналов событий, сетевой информации, служб, задач и веб-истории.
• Анализ и просмотр импортированных данных аудита, включая возможность фильтрации результатов по заданным
временным рамкам с помощью функции Timeline в Redline с функциями TimeWrinkle™ и TimeCrunch™.
• Оптимизация анализа памяти с помощью проверенного рабочего процесса для анализа вредоносного ПО на
основе относительного приоритета.
• Выполнение анализа индикаторов компрометации (IOC). Поставляемый с набором IOC, портативный агент Redline
автоматически настраивается на сбор данных, необходимых для проведения анализа IOC и анализа результатов
обнаружения IOC.
• https://fireeye.market/apps/211364

Yara
• YARA - это инструмент, предназначенный (но не ограничивающийся
этим) для помощи исследователям в идентификации и
классификации образцов вредоносного ПО. С помощью YARA можно
создавать описания семейств вредоносных программ (или любые
другие описания) на основе текстовых или бинарных шаблонов.
Каждое описание, оно же правило, состоит из набора строк и
булевого выражения, которые определяют его логику.
• https://github.com/VirusTotal/yara

Forager
• Задумывались ли вы когда-нибудь о том, что существует более простой
способ получения, хранения и поддержки всех ваших данных по
анализу угроз? Знакомьтесь, это Forager. Не все проекты по анализу
угроз требуют наличия базы данных, которая "коррелирует триллионы
точек данных...", вместо этого вам нужен простой интерфейс с
простыми TXT-файлами, который позволяет извлекать данные об
угрозах из других каналов, PDF-отчетов об угрозах или других
источников данных с минимальными усилиями. Благодаря 15
предварительно настроенным каналам угроз вы можете начать работу
с управлением данными об угрозах уже сегодня
• https://github.com/opensourcesec/Forager

Threat Bus
• Подключение средств безопасности с открытым исходным кодом: Threat Bus - это pub-sub брокер для данных
разведки угроз. С помощью Threat Bus можно легко интегрировать платформы для сбора данных об угрозах, такие
как OpenCTI или MISP, со средствами обнаружения и базами данных, такими как Zeek или VAST.
• Встроенный STIX-2: Threat Bus передает индикаторы и данные о наблюдениях, закодированные в соответствии со
спецификацией открытого формата STIX-2.
• Архитектура на основе плагинов: Проект основан на плагинах и может быть легко расширен. Прочитайте о
различных типах плагинов и о том, как написать свой собственный. Мы приветствуем вклад в создание новых
инструментов с открытым исходным кодом!
• Официальные плагины: Мы поддерживаем множество плагинов прямо в официальном репозитории Threat Bus.
Посмотрите наши интеграции для MISP, Zeek, CIFv3 и других приложений, подключающихся через ZeroMQ,
например, vast-threatbus и наш коннектор OpenCTI.
• --">