攻防演练之-最有价值安全工具大巡礼

2024-08-29 02:44

本文主要是介绍攻防演练之-最有价值安全工具大巡礼,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

书接上文,《网络安全攻防演练风云》专栏之 攻防演练之-给家人介绍网络安全,这里。

小白在攻防演练这几天看到Nick团队使用了五花八门的安全工具对于安全产品的告警进行了分析,不禁好奇起来,在日常的网络安全运营以及攻防演练等应急响应的过程中,会使用到哪些工具呢?

对于后辈的问题,Nick总是非常的热心,对小白侃侃而谈起来。

“从安服的视角来看,网络安全运营的生态包含三个方面:第一是安全产品,攻防演练的过程中,对于防守方来说依赖的是大量的安全防护类产品的检测,阻断,告警,响应的能力。关于网络安全产品的介绍,我们之前有谈论过,《攻防演练之-网络安全产品大巡礼一》,这里,《攻防演练之-网络安全产品大巡礼二》,这里。第二是网络安全运营人员,关于网络安全运营人员,我们之前也有谈论过不同的岗位角色,《攻防演练之-给家人介绍网络安全》,这里。第三是围绕着网络安全产品和网络安全运营人员而建立的网络安全工具,绝大部分的网络安全工具以开源为主,因此具备开源工具的特点:”

  • 性能无法保障
  • 功能丰富
  • 持续演进
  • 部署可能比较复杂
  • 没有售后支撑

”网络安全工具之所以在圈子内具备巨大的市场的原因在于,对于网络安全产品检测出的安全告警,往往还需要SOC分析师,应急响应人员借助其他的开源工具进行进一步的分析,网络安全产品本身并不能包办所有事情。我总体上介绍一下个分析和响应网络安全设备告警过程中最经常用到的若干开源工具,为参加护网HVV,攻防演练,重保活动的小伙伴提供一些提升效率的工具。虽然开源工具异常的繁多,但是如下的工具网络安全运营的过程中使用的频率最高。”

网络分析类

流量安全产品在国内国内外占据最大的市场份额,因此经常需要对防火墙,IDS/IPS,NDR等产品产生的告警进一步的分析。根据流量分析的目的不同,推荐如下几款提升效率的工具。

wireshark

基本上分析流量都会用的工具wieshark,尽管很多的安全产品都是提供了在线的数据包解析能力,但是绝大多数的人员还是习惯使用wireshark进行离线分析,主要是其强大的协议解析能力,以及灵活扩展的插件能力。关于wireshark更多实用功能使用,详见专栏《Wireshark从入门到精通》,这里。
在这里插入图片描述

NetworkMiner

如果想要提取流量数据包中相关的indicator内容,例如流量中的文件,图片,密码,DNS,关键字等,则推荐使用NetworkMiner,详见《网络安全应急响应工具之-流量安全取证NetworkMiner》,这里。
在这里插入图片描述

RITA

如果流量是从全流量设备中导出的一段时间的流量,需要做一些安全上的统计分析,例如是否存在C2保活通信行为,则推荐使用RITA,对应的连接,这里。

dalton

如果想要对全流量导出的数据包进行更加全面和彻底的检测,则推荐使用dalton,dalton继承了snort,suricata,zeek等三款常见的开源检测引擎,能够比较彻底的检测数据包中的威胁,详见《基于多种流量检测引擎识别pcap数据包中的威胁》,这里。规则集推荐使用ETPro规则集,关于该规则集的解释,详见《Emerging Threats rules suricata规则功能介绍》,这里。
在这里插入图片描述

终端分析类

Velociraptor

很多情况下有些设备没有安装EDR等设备,但是由于NDR等设备发现该终端存在的问题,需要继续深入取证分析,则推荐离线取证分析工具Velociraptor,其基本功能和常见的EDR软件类似。
在这里插入图片描述

procmon

EDR的目前的检测规则主要是检测恶意软件的行为,但是恶意软件的行为在正常的程序调用中也是存在。因此在分析EDR告警的时候会存在排除误报和验证的需求,即验证正常和异常软件的行为。关于监控软件行为的软件推荐使用sysinternals的processMonitor,详见这里。
https://github.com/volatilityfoundation/volatility

volatility

很多时候EDR记录的windows以及Linux的自身日志也不能完全满足安全分析师的分析需求,还需要到内存中寻找响应的证据。关于内存取证的工具推荐使用volatility,详见这里。

邮件分析类

thunderbird

很多时候email中的URL隐藏在源码中,而邮件网关并不提供提取这些URL以及查看源码能力,因此要下载email查看对应的源码。thunderbird是一款离线的邮件查看软件,能够满足绝大多数关于邮件的需求。

文件分析类

在网络安全日常的运营,护网行动,重保活动的过程中,样本的分析是一个重要的过程,这些可疑或者恶意的样本的来源有如下几种:

  • 数据包流量中提取的样本
  • EMAIL邮件附件中提取的样本
  • EDR软件中发现的样本
  • 通过发现的C2等链接下载的样本

需要对上述来源的样本进行进一步的分析。

hybrid

对于样本的分析主要是沙箱,比较知名的两款开源沙箱是hybrid,见这里以及app any run ,这里,其中app any run是一款交互式的在线沙箱。
在这里插入图片描述

Cuckoo

如果想要部署本地沙箱,比较知名的是Cuckoo布谷鸟沙箱,详见这里,不过该款沙箱已经停止了维护。

ghidra

除了沙箱之外,对于恶意软件的分析需要借助专业的逆向分析工具进行debug分析,最为知名的是IDA,为付费软件。开源的替代软件为ghidra,见这里。

威胁情报类

VT

威胁情报查询是网络安全运营,护网,HVV,重保演练过程中最为常见的操作,目的是查找已知的情报信息。威胁情报类常见的查看IOC的平台包括virustotal,MISP,微步等,详见这里。
在这里插入图片描述

URLSCAN

除了被动的查看已知的IOC的信息,还可以通过扫描对应的URL获取实时的情报内容,例如URLSCAN,详见这里。
在这里插入图片描述

实用工具类

除了上述流量,终端,邮件,文件类的分析工具,往往各类的日志和告警会汇聚到SIEM等平台,针对SIEM上的日志的分析,如下两个实用工具值得关注。

Cyberchef

在安全运营分析过程中,不可避免需要解码,解密,解混淆各种数据,cyberchef是一款各种解码/加密/数据格式转换/hash/实用小工具的集合,是每一个安全分析师都应该掌握的工具,详见我的专栏《Cyberchef 从入门到精通教程》,这里。
在这里插入图片描述

Timesketch

目前很多的NDR,EDR,SIEM等平台的日志分析能力偏弱,针对这种情况,可以把NDR,EDR,SIEM,EVENTLOG等各种平台的日志进行导出,并导出到Timesketch 工具中进行分析。Timesketch是一款针对网络安全日志进行安全分析的开源平台,目前Timesketch支持针对百万条数据以上的分析能力,特别适合威胁狩猎,分析异常日志等。详见我的专栏《Timesketch从入门到精通教程》,这里。
在这里插入图片描述

上述工具的使用将会陆续在我的免费专栏《安全分析师工具篇》进行详细介绍,详见这里。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。

这篇关于攻防演练之-最有价值安全工具大巡礼的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1116615

相关文章

高效录音转文字:2024年四大工具精选!

在快节奏的工作生活中,能够快速将录音转换成文字是一项非常实用的能力。特别是在需要记录会议纪要、讲座内容或者是采访素材的时候,一款优秀的在线录音转文字工具能派上大用场。以下推荐几个好用的录音转文字工具! 365在线转文字 直达链接:https://www.pdf365.cn/ 365在线转文字是一款提供在线录音转文字服务的工具,它以其高效、便捷的特点受到用户的青睐。用户无需下载安装任何软件,只

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

【Linux 从基础到进阶】Ansible自动化运维工具使用

Ansible自动化运维工具使用 Ansible 是一款开源的自动化运维工具,采用无代理架构(agentless),基于 SSH 连接进行管理,具有简单易用、灵活强大、可扩展性高等特点。它广泛用于服务器管理、应用部署、配置管理等任务。本文将介绍 Ansible 的安装、基本使用方法及一些实际运维场景中的应用,旨在帮助运维人员快速上手并熟练运用 Ansible。 1. Ansible的核心概念

超强的截图工具:PixPin

你是否还在为寻找一款功能强大、操作简便的截图工具而烦恼?市面上那么多工具,常常让人无从选择。今天,想给大家安利一款神器——PixPin,一款真正解放双手的截图工具。 想象一下,你只需要按下快捷键就能轻松完成多种截图任务,还能快速编辑、标注甚至保存多种格式的图片。这款工具能满足这些需求吗? PixPin不仅支持全屏、窗口、区域截图等基础功能,它还可以进行延时截图,让你捕捉到每个关键画面。不仅如此

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

PR曲线——一个更敏感的性能评估工具

在不均衡数据集的情况下,精确率-召回率(Precision-Recall, PR)曲线是一种非常有用的工具,因为它提供了比传统的ROC曲线更准确的性能评估。以下是PR曲线在不均衡数据情况下的一些作用: 关注少数类:在不均衡数据集中,少数类的样本数量远少于多数类。PR曲线通过关注少数类(通常是正类)的性能来弥补这一点,因为它直接评估模型在识别正类方面的能力。 精确率与召回率的平衡:精确率(Pr

husky 工具配置代码检查工作流:提交代码至仓库前做代码检查

提示:这篇博客以我前两篇博客作为先修知识,请大家先去看看我前两篇博客 博客指路:前端 ESlint 代码规范及修复代码规范错误-CSDN博客前端 Vue3 项目开发—— ESLint & prettier 配置代码风格-CSDN博客 husky 工具配置代码检查工作流的作用 在工作中,我们经常需要将写好的代码提交至代码仓库 但是由于程序员疏忽而将不规范的代码提交至仓库,显然是不合理的 所

10个好用的AI写作工具【亲测免费】

1. 光速写作 传送入口:http://u3v.cn/6hXWYa AI打工神器,一键生成文章&ppt 2. 讯飞写作 传送入口:http://m6z.cn/5ODiSw 3. 讯飞绘文 传送入口:https://turbodesk.xfyun.cn/?channelid=gj3 4. AI排版助手 传送入口:http://m6z.cn/6ppnPn 5. Kim