攻防演练之-最有价值安全工具大巡礼

2024-08-29 02:44

本文主要是介绍攻防演练之-最有价值安全工具大巡礼,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

书接上文,《网络安全攻防演练风云》专栏之 攻防演练之-给家人介绍网络安全,这里。

小白在攻防演练这几天看到Nick团队使用了五花八门的安全工具对于安全产品的告警进行了分析,不禁好奇起来,在日常的网络安全运营以及攻防演练等应急响应的过程中,会使用到哪些工具呢?

对于后辈的问题,Nick总是非常的热心,对小白侃侃而谈起来。

“从安服的视角来看,网络安全运营的生态包含三个方面:第一是安全产品,攻防演练的过程中,对于防守方来说依赖的是大量的安全防护类产品的检测,阻断,告警,响应的能力。关于网络安全产品的介绍,我们之前有谈论过,《攻防演练之-网络安全产品大巡礼一》,这里,《攻防演练之-网络安全产品大巡礼二》,这里。第二是网络安全运营人员,关于网络安全运营人员,我们之前也有谈论过不同的岗位角色,《攻防演练之-给家人介绍网络安全》,这里。第三是围绕着网络安全产品和网络安全运营人员而建立的网络安全工具,绝大部分的网络安全工具以开源为主,因此具备开源工具的特点:”

  • 性能无法保障
  • 功能丰富
  • 持续演进
  • 部署可能比较复杂
  • 没有售后支撑

”网络安全工具之所以在圈子内具备巨大的市场的原因在于,对于网络安全产品检测出的安全告警,往往还需要SOC分析师,应急响应人员借助其他的开源工具进行进一步的分析,网络安全产品本身并不能包办所有事情。我总体上介绍一下个分析和响应网络安全设备告警过程中最经常用到的若干开源工具,为参加护网HVV,攻防演练,重保活动的小伙伴提供一些提升效率的工具。虽然开源工具异常的繁多,但是如下的工具网络安全运营的过程中使用的频率最高。”

网络分析类

流量安全产品在国内国内外占据最大的市场份额,因此经常需要对防火墙,IDS/IPS,NDR等产品产生的告警进一步的分析。根据流量分析的目的不同,推荐如下几款提升效率的工具。

wireshark

基本上分析流量都会用的工具wieshark,尽管很多的安全产品都是提供了在线的数据包解析能力,但是绝大多数的人员还是习惯使用wireshark进行离线分析,主要是其强大的协议解析能力,以及灵活扩展的插件能力。关于wireshark更多实用功能使用,详见专栏《Wireshark从入门到精通》,这里。
在这里插入图片描述

NetworkMiner

如果想要提取流量数据包中相关的indicator内容,例如流量中的文件,图片,密码,DNS,关键字等,则推荐使用NetworkMiner,详见《网络安全应急响应工具之-流量安全取证NetworkMiner》,这里。
在这里插入图片描述

RITA

如果流量是从全流量设备中导出的一段时间的流量,需要做一些安全上的统计分析,例如是否存在C2保活通信行为,则推荐使用RITA,对应的连接,这里。

dalton

如果想要对全流量导出的数据包进行更加全面和彻底的检测,则推荐使用dalton,dalton继承了snort,suricata,zeek等三款常见的开源检测引擎,能够比较彻底的检测数据包中的威胁,详见《基于多种流量检测引擎识别pcap数据包中的威胁》,这里。规则集推荐使用ETPro规则集,关于该规则集的解释,详见《Emerging Threats rules suricata规则功能介绍》,这里。
在这里插入图片描述

终端分析类

Velociraptor

很多情况下有些设备没有安装EDR等设备,但是由于NDR等设备发现该终端存在的问题,需要继续深入取证分析,则推荐离线取证分析工具Velociraptor,其基本功能和常见的EDR软件类似。
在这里插入图片描述

procmon

EDR的目前的检测规则主要是检测恶意软件的行为,但是恶意软件的行为在正常的程序调用中也是存在。因此在分析EDR告警的时候会存在排除误报和验证的需求,即验证正常和异常软件的行为。关于监控软件行为的软件推荐使用sysinternals的processMonitor,详见这里。
https://github.com/volatilityfoundation/volatility

volatility

很多时候EDR记录的windows以及Linux的自身日志也不能完全满足安全分析师的分析需求,还需要到内存中寻找响应的证据。关于内存取证的工具推荐使用volatility,详见这里。

邮件分析类

thunderbird

很多时候email中的URL隐藏在源码中,而邮件网关并不提供提取这些URL以及查看源码能力,因此要下载email查看对应的源码。thunderbird是一款离线的邮件查看软件,能够满足绝大多数关于邮件的需求。

文件分析类

在网络安全日常的运营,护网行动,重保活动的过程中,样本的分析是一个重要的过程,这些可疑或者恶意的样本的来源有如下几种:

  • 数据包流量中提取的样本
  • EMAIL邮件附件中提取的样本
  • EDR软件中发现的样本
  • 通过发现的C2等链接下载的样本

需要对上述来源的样本进行进一步的分析。

hybrid

对于样本的分析主要是沙箱,比较知名的两款开源沙箱是hybrid,见这里以及app any run ,这里,其中app any run是一款交互式的在线沙箱。
在这里插入图片描述

Cuckoo

如果想要部署本地沙箱,比较知名的是Cuckoo布谷鸟沙箱,详见这里,不过该款沙箱已经停止了维护。

ghidra

除了沙箱之外,对于恶意软件的分析需要借助专业的逆向分析工具进行debug分析,最为知名的是IDA,为付费软件。开源的替代软件为ghidra,见这里。

威胁情报类

VT

威胁情报查询是网络安全运营,护网,HVV,重保演练过程中最为常见的操作,目的是查找已知的情报信息。威胁情报类常见的查看IOC的平台包括virustotal,MISP,微步等,详见这里。
在这里插入图片描述

URLSCAN

除了被动的查看已知的IOC的信息,还可以通过扫描对应的URL获取实时的情报内容,例如URLSCAN,详见这里。
在这里插入图片描述

实用工具类

除了上述流量,终端,邮件,文件类的分析工具,往往各类的日志和告警会汇聚到SIEM等平台,针对SIEM上的日志的分析,如下两个实用工具值得关注。

Cyberchef

在安全运营分析过程中,不可避免需要解码,解密,解混淆各种数据,cyberchef是一款各种解码/加密/数据格式转换/hash/实用小工具的集合,是每一个安全分析师都应该掌握的工具,详见我的专栏《Cyberchef 从入门到精通教程》,这里。
在这里插入图片描述

Timesketch

目前很多的NDR,EDR,SIEM等平台的日志分析能力偏弱,针对这种情况,可以把NDR,EDR,SIEM,EVENTLOG等各种平台的日志进行导出,并导出到Timesketch 工具中进行分析。Timesketch是一款针对网络安全日志进行安全分析的开源平台,目前Timesketch支持针对百万条数据以上的分析能力,特别适合威胁狩猎,分析异常日志等。详见我的专栏《Timesketch从入门到精通教程》,这里。
在这里插入图片描述

上述工具的使用将会陆续在我的免费专栏《安全分析师工具篇》进行详细介绍,详见这里。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。

这篇关于攻防演练之-最有价值安全工具大巡礼的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1116615

相关文章

Python基于wxPython和FFmpeg开发一个视频标签工具

《Python基于wxPython和FFmpeg开发一个视频标签工具》在当今数字媒体时代,视频内容的管理和标记变得越来越重要,无论是研究人员需要对实验视频进行时间点标记,还是个人用户希望对家庭视频进行... 目录引言1. 应用概述2. 技术栈分析2.1 核心库和模块2.2 wxpython作为GUI选择的优

使用Java实现通用树形结构构建工具类

《使用Java实现通用树形结构构建工具类》这篇文章主要为大家详细介绍了如何使用Java实现通用树形结构构建工具类,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录完整代码一、设计思想与核心功能二、核心实现原理1. 数据结构准备阶段2. 循环依赖检测算法3. 树形结构构建4. 搜索子

利用Python开发Markdown表格结构转换为Excel工具

《利用Python开发Markdown表格结构转换为Excel工具》在数据管理和文档编写过程中,我们经常使用Markdown来记录表格数据,但它没有Excel使用方便,所以本文将使用Python编写一... 目录1.完整代码2. 项目概述3. 代码解析3.1 依赖库3.2 GUI 设计3.3 解析 Mark

利用Go语言开发文件操作工具轻松处理所有文件

《利用Go语言开发文件操作工具轻松处理所有文件》在后端开发中,文件操作是一个非常常见但又容易出错的场景,本文小编要向大家介绍一个强大的Go语言文件操作工具库,它能帮你轻松处理各种文件操作场景... 目录为什么需要这个工具?核心功能详解1. 文件/目录存javascript在性检查2. 批量创建目录3. 文件

jvm调优常用命令行工具详解

《jvm调优常用命令行工具详解》:本文主要介绍jvm调优常用命令行工具的用法,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一 jinfo命令查看参数1.1 查看jvm参数二 jstack命令2.1 查看现场堆栈信息三 jstat 实时查看堆内存,gc情况3.1

MySQL使用binlog2sql工具实现在线恢复数据功能

《MySQL使用binlog2sql工具实现在线恢复数据功能》binlog2sql是大众点评开源的一款用于解析MySQLbinlog的工具,根据不同选项,可以得到原始SQL、回滚SQL等,下面我们就来... 目录背景目标步骤准备工作恢复数据结果验证结论背景生产数据库执行 SQL 脚本,一般会经过正规的审批

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

基于Python开发批量提取Excel图片的小工具

《基于Python开发批量提取Excel图片的小工具》这篇文章主要为大家详细介绍了如何使用Python中的openpyxl库开发一个小工具,可以实现批量提取Excel图片,有需要的小伙伴可以参考一下... 目前有一个需求,就是批量读取当前目录下所有文件夹里的Excel文件,去获取出Excel文件中的图片,并

Java导入、导出excel用法步骤保姆级教程(附封装好的工具类)

《Java导入、导出excel用法步骤保姆级教程(附封装好的工具类)》:本文主要介绍Java导入、导出excel的相关资料,讲解了使用Java和ApachePOI库将数据导出为Excel文件,包括... 目录前言一、引入Apache POI依赖二、用法&步骤2.1 创建Excel的元素2.3 样式和字体2.

基于Python开发PDF转PNG的可视化工具

《基于Python开发PDF转PNG的可视化工具》在数字文档处理领域,PDF到图像格式的转换是常见需求,本文介绍如何利用Python的PyMuPDF库和Tkinter框架开发一个带图形界面的PDF转P... 目录一、引言二、功能特性三、技术架构1. 技术栈组成2. 系统架构javascript设计3.效果图