攻防演练利器:六款蓝队开源防御工具特点剖析

实战化的攻防演习活动一般具有时间短、任务急等特点,作为防守方,蓝队需要在日常安全运维工作的基础上,从攻击者角度出发,了解攻击者的思路与打法,并结合本单位实际网络环境、运营管理情况,制定相应的技术防御和响应机制,才能在演练活动中争取主动权。

在此背景下,前期各项准备工作是否充分将直接决定蓝队能否顺利完成攻击防守的任务,所谓“工欲善其事,必先利其器”,在攻防演练活动中,积极使用先进的安全评估和防御工具,往往能起到事半功倍的效果,极大提升蓝队的工作效率。以下梳理了目前在全球攻防演练活动中,较受蓝队组织欢迎的6款开源防御工具,并对其应用特点进行了简要分析。

1、网络数据包分析工具:Arkime

图片


Arkime是一个先进的数据包搜索和捕获(PCAP)系统,能够有效地处理和分析网络流量数据。它具有直观的web界面,可用于浏览、搜索和导出PCAP文件,而其自带的API接口,允许用户直接下载和使用PCAP和json格式的会话数据。这样就可以在分析阶段将数据与专门的流量捕获工具(如Wireshark)集成。

此外,Arkime还可以同时部署在许多系统上,并且可以扩展到每秒处理数十千兆比特的流量。PCAP对数据的处理能力是基于传感器的可用磁盘空间和Elasticsearch集群的规模,这两个资源数量都可以根据需要进行扩展,并且完全由管理员控制。

传送门:https://arkime.com/

2、入侵检测防御系统:Snort

图片

Snort是一款开源的入侵检测和防御系统(IPS),用于监视和分析网络流量,以检测和预防潜在的安全威胁。它广泛用于实时流量分析和数据包记录,使用一系列规则来帮助定义网络上的恶意活动,查找与此类可疑或恶意行为匹配的数据包,并为管理员生成警报。

根据其主页介绍,Snort有三个主要用例:

• 包跟踪;

• 包日志记录(对网络流量调试很有用);

• 网络入侵防御系统;

为了检测网络上的入侵和恶意活动,Snort有三组全局规则:

• 社区用户规则:任何用户都可以使用的规则,无需任何成本和注册;

• 针对注册用户的规则:通过注册Snort,用户可以访问一组经过优化的规则,以识别更具体的威胁;

• 订阅者规则:这组规则不仅允许更准确的威胁识别和优化,而且还具有接收威胁更新的能力;

传送门:https://www.snort.org/

3、安全事件管理工具:TheHive

图片


TheHive是一个可扩展的安全事件响应平台,为事件处理、调查和响应活动提供协作和可定制的空间。它与恶意软件信息共享平台(MISP)紧密集成,简化了安全运营中心(SOC)、计算机安全事件响应小组(CSIRT)、计算机应急响应小组(CERT)等需要快速分析和采取行动的安全专业人员工作流程。因此,它可以帮助组织有效地管理和响应安全事件。

TheHive的高效性主要体现在以下三个方面:

• 协作:该平台促进了安全运营中心(SOC)和计算机应急响应小组(CERT)分析师之间的实时协作,可以将正在进行的调查整合到案件、任务和观察事项中;

• 精确化:该工具通过高效的模板引擎简化了用例和相关任务的创建。用户可以通过仪表板自定义指标和字段,并且该平台支持标记包含恶意软件或可疑数据的基本文件;

• 性能:为创建的每个案例添加一个到数千个可观察对象,包括直接从MISP事件或发送到平台的任何警报导入它们的选项,以及可定制的分类和过滤器。

传送门:https://thehive-project.org/

4、安全事件响应框架:GRR Rapid Response

图片


GRR Rapid Response是一个开源的网络安全事件响应框架,支持实时远程取证分析。它远程收集和分析来自系统的取证数据,以促进网络安全调查和事件响应活动。GRR支持收集各种类型的取证数据,包括文件系统元数据、内存内容、注册表信息和其他对事件分析至关重要的构件。这个框架是为实现大规模的应用部署而构建的,因此特别适合具有多样化和广泛IT基础设施的企业。

GRR客户端部署在用户想要调查的系统上。在这些系统上,一旦部署完成,GRR客户端就会定期轮询GRR前端服务器,以验证它们是否正在工作。“工作”意味着执行一些特定的操作:下载一个文件,枚举一个目录,等等。

GRR服务器基础设施由前端、工作器、UI服务器、Fleetspeak等组件组成,并提供基于web的GUI和API端点,允许分析师在客户端上调度操作,并查看和处理收集的数据。

传送门:https://github.com/google/grr

5、攻击事件分析系统:HELK

图片

HELK(或称The Hunting ELK)旨在为安全专业人员提供一个全面的环境,以进行主动的威胁狩猎,分析安全事件,并对事件做出反应。它利用ELK堆栈的强大功能以及其他工具来创建一个多功能和可扩展的安全分析平台。

该工具将各种网络安全工具组合成一个统一的威胁搜索和安全分析平台。它的主要组件是Elasticsearch、Logstash和Kibana,它们目前已经被广泛用于日志和数据分析。HELK通过集成额外的安全工具和数据源来扩展ELK堆栈,以增强其威胁检测和事件响应能力。

传送门:https://thehelk.com/intro.html

6、内存取证工具:Volatility

图片


Volatility框架是一组工具和库,用于从系统的易失性内存(RAM)中提取数字信息。因此,它被广泛用于数字取证和事件响应中,以分析来自受损系统的内存转储,并提取与正在进行或过去的安全事件相关的有价值信息。

由于它是独立于平台的,它支持来自各种操作系统的内存转储,包括Windows、Linux和macOS。实际上,Volatility还可以分析来自虚拟化环境的内存转储,例如由VMware或VirtualBox创建的内存转储,从而提供对物理和虚拟系统状态的洞察。

Volatility有一个基于插件的架构——它有一组丰富的内置插件,涵盖了广泛的取证分析,但也允许用户通过添加自定义插件来扩展其功能。

传送门:https://www.volatilityfoundation.org/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/769272.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

性能测试丨GreatSQL TPC-H 性能测试报告正式发布!

1、测试背景概述 本次测试针对GreatSQL开源数据库基于标准 TPC-H 场景的测试。 TPC-H(商业智能计算测试)是美国交易处理效能委员会(TPC,TransactionProcessing Performance Council)组织制定的用来模拟决策支持类应用…

抽取CLOB字段中XML的特定元素的VALUE值

在ORACLE数据库中,有时XML文件会被保存在CLOB字段中。 这时候,若是我们要获取此字段XML中特定元素的VALUE值,就需要用到xmltype 这个函数。 如下面的 XML文件,保存在 TABLE_A 的CLOB_K 字段,若是我们要获取其中的 Y…

C语言从入门到精通(第5版)-----读书笔记

第一章 C语言概述 1.1 C语言的发展史 1.1.1程序语言简述 1、机器语言 低级语言,又称二进制代码语言。一种使用0、1表示的二进制代码编写指令以执行计算机操作的语言。 特点:计算机可以直接识别,不需要进行任何翻译。 2、汇编语言 为了减…

RDMA内核态通信测试krping学习

krping模块是一个内核可加载模块,它实现了客户机/服务器ping/pong程序,这个模块仅仅为了测试内核rdma的API(单边的READ和Write;双边的SEND和RECEIVE)。该模块允许通过一个名为/proc/krping的/proc条目建立连接并运行pi…

ElasticSearch8 - 基本操作

前言 本文记录 ES 的一些基本操作,就是对官方文档的一些整理,按自己的习惯重新排版,凑合着看。官方的更详细,建议看官方的。 下文以 books 为索引名举例。 新增 添加单个文档 (没有索引会自动创建) POST books/_doc {"n…

服务器总是宕机问题记录

博主介绍: 22届计科专业毕业,来自湖南,主要是在CSDN记录一些自己在Java开发过程中遇到的一些问题,欢迎大家一起讨论学习,也欢迎大家的批评指正。 文章目录 背景调整总结 背景 2核2G的服务器,服务器安装了t…

计算机网络:物理层中的数字传输系统全景概览解析

✨✨ 欢迎大家来访Srlua的博文(づ ̄3 ̄)づ╭❤~✨✨ 🌟🌟 欢迎各位亲爱的读者,感谢你们抽出宝贵的时间来阅读我的文章。 我是Srlua小谢,在这里我会分享我的知识和经验。&am…

Django之Celery篇(三)

一、任务交给Celery Django任务交给Celery的方法和普通使用Celery任务的调用基本无区别,只是将执行代码的放到到View视图中 而获取结果,往往并不能把结果和第1次请求一起响应,若想获取结果是通过第2次请求获取结果 代码如下: from django.http import HttpResponsefrom …

华为ensp中vrrp虚拟路由器冗余协议 原理及配置命令

CSDN 成就一亿技术人! 作者主页:点击! ENSP专栏:点击! CSDN 成就一亿技术人! ————前言————— VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议&#xff0…

[数据集][目标检测]高质量铁路轨道缺陷检测数据集VOC+YOLO格式1050张6类别

数据集格式:Pascal VOC格式YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):1050 标注数量(xml文件个数):1050 标注数量(txt文件个数):1050 标注…

【机器学习】基于变色龙算法优化的BP神经网络分类预测(SSA-BP)

目录 1.原理与思路2.设计与实现3.结果预测4.代码获取 1.原理与思路 【智能算法应用】智能算法优化BP神经网络思路【智能算法】变色龙优化算法(CSA)原理及实现 2.设计与实现 数据集: 数据集样本总数2000 多输入多输出:样本特征24&#xff…

集成学习 | 集成学习思想:Boosting思想 | XGBoost算法、LightGBM算法

目录 一. XGBoost 算法1. XGBoost 算法流程2. XGBoost 算法评价 二. LightGBM 算法2. LightGBM 算法优势 上一篇文章中,我们了解了Boosting思想的两种算法:Adboost和GBDT;其中对于GBDT算法,存在两种改进,即&#xff1a…

javaWeb奶茶商城前后台系统

一、简介 在当前数字化时代,电子商务已成为人们生活中不可或缺的一部分。为了满足用户对奶茶的需求,我设计并实现了一个基于JavaWeb的奶茶商城前后台系统。该系统涵盖了用户前台和管理员后台两大模块,包括登录注册、商品展示、购物车管理、订…

【ARXIV2402】MambaIR

这个工作首次将 Mamba 引入到图像修复任务,关于为什么 Mamba 可以用于图像修复,作者有非常详细的解释:一路向北:性能超越SwinIR!MambaIR: 基于Mamba的图像复原基准模型 作者认为Mamba可以理解为RNN和CNN的结合&#xf…

【测试开发学习历程】计算机编程语言

前言: 学习完数据库,我们便要进入到编程语言的内容当中了。 这里先对编程语言写出大致的分类, 在这之后,我们会以Python为重点, 开始测试开发为重点的编程语言学习。 目录 1 计算机编程语言的发展 2 语言的分类…

JAVA 学习记录(1)

1.函数 (1)String.join(";", messages); ";" 表示分隔符,输出的结果: message; (2) Double.parseDouble(valueString); 它返回由字符串参数表示的双精度值。 (3) Double.valueOf((Float) value; float 类型的数值转化为double类…

计数组合【2024蓝桥杯0基础】-学习笔记

文章目录 计数原理排列数组合数组合数性质例题分析代码复现 例题2状态分析代码复现 常见的排列组合问题圆排列代码复现 第二类斯特林数 感悟 计数原理 排列数 组合数 组合数性质 例题分析 代码复现 def ksm(a, b, c):ans 1%cwhile b ! 0:if b % 2 0:ans ans * a %ca a * …

java面向对象编程基础

对象: java程序中的对象: 本质上是一种特殊的数据结构 对象是由类new出来的,有了类就可以创建对象 对象在计算机的执行原理: student s1new student();每次new student(),就是在堆内存中开辟一块内存区域代表一个学生对象s1变…

K3 计划订单投放时,将“关联物料”传递到采购和生产订单的“组部件”字段

参考K/3 WISE 中MRP计算投放过程中 销售订单自定义字段怎么携带到任务单这篇文章,进行优化。 在表ICMrpDestBills下增加触发器,代码如下 CREATE TRIGGER [dbo].[ICMrpDestBills_update]ON [dbo].[ICMrpDestBills]AFTER INSERT,UPDATE AS BEGINSET NO…

查询正在运行的Top SQL的脚本(建议收藏)

这篇文章提供了一些现成的SQL脚本,通过查询V$SQLSTATS视图找到正在运行的TOP SQL,用于后续的优化。建议大家收藏,需要查询TOP SQL时直接复制和粘贴即可。 之前的一篇文章解释了为什么要使用V$SQLSTATS视图。 当数据库表现出各种不同的性能问…