TOP 20 ferramentas de código aberto
TOP 20 ferramentas de código aberto que todo Blue Teamer deveria ter
Neste módulo, vamos explorar as 20 principais ferramentas de código aberto que todo time azul deve ter:
A colméia
TheHive é uma plataforma de resposta a incidentes de segurança gratuita e de código aberto 4 em 1 escalável, projetada para facilitar a vida de SOCs, CSIRTs, CERTs e qualquer profissional de segurança da informação que lide com incidentes de segurança que precisam ser investigados e resolvidos rapidamente. Graças ao Cortex , nosso poderoso mecanismo de análise gratuito e de código aberto, você pode analisar (e fazer a triagem) observáveis em escala usando mais de 100 analisadores.
Seu site oficial: https://thehive-project.org
OSSIM
O OSSIM é um sistema de gerenciamento de eventos e informações de segurança de código aberto (SIEM). Foi desenvolvido em 2003. O projeto foi adquirido posteriormente pela AT&T.
Você pode baixá-lo aqui: https://cybersecurity.att.com/products/ossim
O HELM
Se você gosta de caçar ameaças, provavelmente já ouviu falar do projeto HELK. O HELK foi desenvolvido por Roberto Rodriguez ( Cyb3rWard0g ) sob licença GPL v3. O projeto foi construído com base na pilha ELK, além de outras ferramentas úteis, como Spark, Kafka e assim por diante.
Seu site oficial: Cyb3rWard0g/HELK: The Hunting ELK - GitHub
Nmap
A varredura é uma das etapas necessárias em cada operação de ataque. Depois de coletar informações sobre um alvo, você precisa passar para outra etapa que é a digitalização. Se você gosta de segurança da informação, deve ter o Nmap em seu arsenal. Nmap (a abreviação de Network mapper) é o scanner de rede mais poderoso. É gratuito e de código aberto. Ele oferece a capacidade de executar diferentes tipos de varreduras de rede, além de outros recursos, graças aos scripts fornecidos. Além disso, você pode escrever seus próprios scripts NSE.
Você pode baixá-lo aqui: https://nmap.org/download.html
Volatilidade
A análise de malware de memória é amplamente utilizada para investigação digital e análise de malware. Refere-se ao ato de analisar uma imagem de memória despejada de uma máquina alvo após a execução do malware para obter vários números de artefatos, incluindo informações de rede, processos em execução, ganchos de API, módulos carregados pelo kernel, histórico do Bash, etc. A volatilidade é a ferramenta mais adequada fazer isso. É um projeto de código aberto desenvolvido pela Volatility Foundation . Pode ser executado em Windows, Linux e MacOS. Volatility suporta diferentes formatos de despejo de memória, incluindo dd, formato Lime, EWF e muitos outros arquivos.
Você pode baixar Volatility aqui: https://github.com/volatilityfoundation/volatility
Edição da Comunidade Demisto
Orquestração, Automação e Resposta de Segurança ou simplesmente SOAR são plataformas e ferramentas muito eficazes para evitar a fadiga dos analistas automatizando muitas tarefas de segurança repetitivas. Uma das plataformas mais conhecidas é Demisto. A plataforma também oferece muitos playbooks gratuitos.
Você pode baixar a edição da comunidade aqui: https://www.demisto.com/community/
Wireshark
A comunicação e a rede são vitais para todas as organizações modernas. Garantir que todas as redes da organização estejam seguras é uma missão fundamental. A ferramenta mais adequada que o ajudará a monitorar sua rede é definitivamente o Wireshark. O Wireshark é uma ferramenta gratuita e de código aberto para ajudá-lo a analisar protocolos de rede com recursos de inspeção profunda. Ele oferece a capacidade de realizar captura de pacotes ao vivo ou análise offline. Ele suporta muitos sistemas operacionais, incluindo Windows, Linux, MacOS, FreeBSD e muitos outros sistemas.
Você pode baixá-lo aqui: https://www.wireshark.org/download.html
Equipe Vermelha Atômica
Atomic __Red Team__ permite que cada __time de segurança__ teste seus controles executando "testes atômicos" simples que exercem as mesmas __técnicas__ usadas pelos adversários (todas mapeadas para o ATT&CK da Mitre )
Seu site oficial: https://github.com/redcanaryco/atomic-red-team
Caldeira
Outra ferramenta de simulação de ameaças é o Caldera.
O CALDERA é um sistema de emulação de adversários __automatizado__ que executa comportamento de adversários pós-comprometimento em redes __WindowsEnterprise__. Ele gera planos durante a operação usando um sistema de planejamento e um modelo de adversário pré-configurado baseado no projeto Adversarial Tactics, Techniques & Common Knowledge (ATT&CK™).
Seu site oficial: https://github.com/mitre/caldera
Suricata
Os sistemas de detecção de intrusão são um conjunto de dispositivos ou softwares que desempenham um papel importante nas organizações modernas para se defender contra invasões e atividades maliciosas. A função dos sistemas de detecção de intrusão baseados em rede é detectar anomalias na rede monitorando o tráfego de entrada e saída. Um dos IDSs mais utilizados é o Suricata. Suricata é um IDS/IPS de código aberto desenvolvido pela Open Information Security Foundation ( OISF )
Seu site oficial: https://suricata-ids.org
Zeek (anteriormente Bro IDS)
Zeek é um dos NIDS mais populares e poderosos. Zeek era conhecido antes pelo irmão. Esta plataforma de análise de rede é suportada por uma grande comunidade de especialistas. Assim, sua documentação é muito detalhada e boa.
Seu site oficial: https://www.zeek.org
OSSEC
OSSEC é um poderoso sistema de detecção de intrusão baseado em host. Ele fornece detecção de intrusão baseada em log (LIDs), detecção de rootkits e malware, auditoria de conformidade, monitoramento de integridade de arquivos (FIM) e muitos outros recursos.
Seu site oficial: https://www.ossec.net
OSQuery
OSQuery é uma estrutura que é suportada por muitos sistemas operacionais para realizar análises e monitoramento do sistema usando consultas simples. Ele usa consultas SQL.
Seu site oficial: https://www.osquery.io
Imager FTK AccessData
A imagem forense é uma tarefa muito importante em forense digital. A imagem é copiar os dados com cuidado, garantindo sua integridade e sem deixar um arquivo de fora, porque é muito importante proteger as evidências e garantir que elas sejam tratadas adequadamente. É por isso que há uma diferença entre a cópia normal de arquivos e a geração de imagens. A geração de imagens está capturando toda a unidade. Ao criar imagens da unidade, o analista cria imagens de todo o volume físico, incluindo o registro mestre de inicialização. Uma das ferramentas utilizadas é o "AccessData FTK Imager".
Seu site oficial: https://accessdata.com/product-download/ftk-imager-version-4-2-0
Cuco
A análise de malware é a arte de determinar a funcionalidade, a origem e o impacto potencial de uma determinada amostra de malware, como vírus, worm, cavalo de tróia, rootkit ou backdoor. Como analista de malware, nosso principal papel é coletar todas as informações sobre software malicioso e ter uma boa compreensão do que aconteceu com as máquinas infectadas. O sandbox de malware mais conhecido é o cuco.
Seu site oficial: https://cuckoo.sh/blog/
MISP
Malware Information Sharing Platform ou simplesmente MISP é uma plataforma de compartilhamento de ameaças de código aberto onde os analistas colaboram e compartilham informações sobre as ameaças mais recentes entre eles. O projeto foi desenvolvido por Christophe Vandeplas e está sob licença GPL v3.
Seu site oficial: https://www.misp-project.org
Ghidra
Outra ótima ferramenta de engenharia reversa é o Ghidra. Este projeto é de código aberto e é mantido pela Diretoria de Pesquisa da Agência de Segurança Nacional . Ghidra lhe dá a capacidade de analisar diferentes formatos de arquivo. Ele suporta Windows, Linux e MacOS. Você precisa instalar o Java para executá-lo. O projeto vem com muitos treinamentos detalhados úteis, documentação e folhas de dicas. Além disso, oferece a capacidade de desenvolver seus próprios plugins usando Java ou Python.
Seu site oficial é: http://ghidra-sre.org
bufar
Outro poderoso sistema de detecção de intrusão baseado em rede é o Snort. O projeto é muito poderoso e foi desenvolvido mais de 5 milhões de vezes. Assim, está bem documentado e é apoiado por uma grande comunidade de especialistas em segurança de rede.
Seu site oficial: https://www.snort.org
Cebola Segurança
Se você estiver procurando por um sistema operacional pronto para uso que contenha muitas das ferramentas discutidas anteriormente, basta baixar o Security Onion. A TI é uma distribuição Linux gratuita e de código aberto para detecção de intrusão, monitoramento de segurança empresarial e gerenciamento de logs.
Seu site oficial: https://github.com/Security-Onion-Solutions/security-onion
Comentários
Postar um comentário