CVE Trends
[https://cvetrends.com/]
аналитический сайт, который отслеживает популярность CVE в реальном времени. Все данные собираются из Twitter и объединяются с данными NIST NVD (https://nvd.nist.gov).
• данные обновляются каждую минуту
• вы можете задать промежуток времени для вывода аналитических данных об уязвимостях: неделя или сутки
• опционально можно выводить данные CWE, твитов на тему, а также оценки CVSS v2.0 и CVSS v3.0
• для каждой уязвимости представлено количество твитов, ретвитов, а также объем охваченной аудитории.
#vulns #cve #twitter
[https://cvetrends.com/]
аналитический сайт, который отслеживает популярность CVE в реальном времени. Все данные собираются из Twitter и объединяются с данными NIST NVD (https://nvd.nist.gov).
• данные обновляются каждую минуту
• вы можете задать промежуток времени для вывода аналитических данных об уязвимостях: неделя или сутки
• опционально можно выводить данные CWE, твитов на тему, а также оценки CVSS v2.0 и CVSS v3.0
• для каждой уязвимости представлено количество твитов, ретвитов, а также объем охваченной аудитории.
#vulns #cve #twitter
👨💻1
Forwarded from T.Hunter
#OSINT #Lab Пятничное... Виртуальные OSINT-лаборатории, которые будут полезны и для исследователей безопасности. Выбери свою...
├Tsurugi
├TraceLabs
├OffenOsint
└CSI Linux
@tomhunter
├Tsurugi
├TraceLabs
├OffenOsint
└CSI Linux
@tomhunter
Кажду среду мы с девчонками из t.me/codeibcommunity делаем прямые эфиры на различные темы из области информационной безопаности. Один из эфиров как раз очень пересекался по тематике нашего канала и разговаривали много и про всякое с Иваном Бирулей, Владимиром Клеевым и Андреем Масаловичем на тему конкурентной разведки - [ https://www.youtube.com/watch?v=MrU9hQeBcLc ]
WindowsTimeline
[https://kacos2000.github.io/WindowsTimeline/]
приложение, позволяющее просмотреть данные файла ActivitiesCache.db (\Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\), которые содержит различные типы активности пользователя. Для работы необходима System.Data.SQLite.dll.
• Декодирует текст буфера обмена
• Сопоставляет информацию об устройстве с данными из реестра (HKCU или NTuser.dat)
• Опционально экспортирует вывод в .csv
• Совместим с Windows 1703/1709/1803/1809/1903/1909/2004 и др.
• В дополнение приложение Clippy, которое извлекает текущие и удаленные текстовые записи буфера обмена
#forensic #timeline #windows
[https://kacos2000.github.io/WindowsTimeline/]
приложение, позволяющее просмотреть данные файла ActivitiesCache.db (\Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\), которые содержит различные типы активности пользователя. Для работы необходима System.Data.SQLite.dll.
• Декодирует текст буфера обмена
• Сопоставляет информацию об устройстве с данными из реестра (HKCU или NTuser.dat)
• Опционально экспортирует вывод в .csv
• Совместим с Windows 1703/1709/1803/1809/1903/1909/2004 и др.
• В дополнение приложение Clippy, которое извлекает текущие и удаленные текстовые записи буфера обмена
#forensic #timeline #windows
👍1
RedTeam Toolkit
[https://github.com/signorrayan/RedTeam_toolkit]
web-приложение на языке Python (Django), содержащее набор инструментов, используемых red-team для выявления уязвимостей. В основе лежат такие проекты, как nmap, rustscan, dirsearch, shreder, circl, crowbar и т.д.
• сканирование портов и уязвимостей цели
• сканирование всех живых хостов в подсети
• сканирование всех каталогов цели
• описание CVE по CveID
• атака по словарю SSH
• RDP BruteForce
• раздел WebApps: Apache Path Traversal PoC (CVE-2021-41773), Веб-краулер для сбора URL-адресов, Перечисление субдоменов
• раздел Windows (обновляется, другие основные CVE будут добавлены): Microsoft Exchange ProxyShell PoC (CVE-2021-34523, CVE-2021-34473, CVE-2021-31207)
• раздел Linux для реализации основных CVE в Linux также в процессе обновления
#pentest #python #redteam #vulns
[https://github.com/signorrayan/RedTeam_toolkit]
web-приложение на языке Python (Django), содержащее набор инструментов, используемых red-team для выявления уязвимостей. В основе лежат такие проекты, как nmap, rustscan, dirsearch, shreder, circl, crowbar и т.д.
• сканирование портов и уязвимостей цели
• сканирование всех живых хостов в подсети
• сканирование всех каталогов цели
• описание CVE по CveID
• атака по словарю SSH
• RDP BruteForce
• раздел WebApps: Apache Path Traversal PoC (CVE-2021-41773), Веб-краулер для сбора URL-адресов, Перечисление субдоменов
• раздел Windows (обновляется, другие основные CVE будут добавлены): Microsoft Exchange ProxyShell PoC (CVE-2021-34523, CVE-2021-34473, CVE-2021-31207)
• раздел Linux для реализации основных CVE в Linux также в процессе обновления
#pentest #python #redteam #vulns
Часто так случается, что выяснить место где было сделано фото может быть достаточно затруднительно. Особенно если пейзаж и и фон достаточно нейтральны на первый взгляд. Наш старый друг Bafomёd перевёл и адаптировал статью nixintel, по методологии идентификации местоположения по подобным исходным данным. Очень крутой и максимально прикладной материал [ https://telegra.ph/Izvlech-issledovat-proverit-11-30 ]
Telegraph
Извлечь, исследовать, проверить
Автор: Nixintel Перевел и адаптировал: Bafomёd С тех пор, как я начал вести блог о геолокации изображений, я пытался писать о методах и приемах, которые делают решение подобных задач более структурированным и систематическим. В своей профессиональной карьере…
Набор утилит для анализа Cobalt Strike beacon
Злоумышленники зачастую используют Cobalt Strike для эксплуатации и постэксплуатации. В качестве полезной нагрузки используется «маяк» (beacon). Маяк устанавливается на целевую машину, обеспечивает устойчивый удаленный доступ к скомпрометированным устройствам и большую часть времени находится в состоянии сна. В связи с этим его очень непросто обнаружить. Связь между скомпрометированной машиной и злоумышленником (сервером Cobalt Strike (C2)) шифруется с помощью ключа AES. Этот ключ можно использовать для расшифровки метаданных и трафика, который создается полезной нагрузкой. Данные инструменты позволяют детектировать активность злоумышленника с помощью анализа конфигурации маяка, дешифровки метаданных и трафика, а также извлечения ключей из памяти процесса (https://docs.microsoft.com/en-us/sysinternals/downloads/procdump).
• 1768.py [https://blog.didierstevens.com/2021/11/21/update-1768-py-version-0-0-10/] -
• cs-decrypt-metadata.py [https://blog.didierstevens.com/2021/11/12/update-cs-decrypt-metadata-py-version-0-0-2/]
• cs-parse-http-traffic.py [https://github.com/DidierStevens/Beta/blob/master/cs-parse-http-traffic.py]
• cs-analyze-processdump.py [https://blog.didierstevens.com/2021/11/25/new-tool-cs-analyze-processdump-py/]
• cs-extract-key.py [https://blog.didierstevens.com/2021/11/03/new-tool-cs-extract-key-py/]
Конкретный пример использования инструментов можно увидеть здесь - https://www.youtube.com/watch?v=VkRQTRtwJW8
#network #forensic #python
Злоумышленники зачастую используют Cobalt Strike для эксплуатации и постэксплуатации. В качестве полезной нагрузки используется «маяк» (beacon). Маяк устанавливается на целевую машину, обеспечивает устойчивый удаленный доступ к скомпрометированным устройствам и большую часть времени находится в состоянии сна. В связи с этим его очень непросто обнаружить. Связь между скомпрометированной машиной и злоумышленником (сервером Cobalt Strike (C2)) шифруется с помощью ключа AES. Этот ключ можно использовать для расшифровки метаданных и трафика, который создается полезной нагрузкой. Данные инструменты позволяют детектировать активность злоумышленника с помощью анализа конфигурации маяка, дешифровки метаданных и трафика, а также извлечения ключей из памяти процесса (https://docs.microsoft.com/en-us/sysinternals/downloads/procdump).
• 1768.py [https://blog.didierstevens.com/2021/11/21/update-1768-py-version-0-0-10/] -
• cs-decrypt-metadata.py [https://blog.didierstevens.com/2021/11/12/update-cs-decrypt-metadata-py-version-0-0-2/]
• cs-parse-http-traffic.py [https://github.com/DidierStevens/Beta/blob/master/cs-parse-http-traffic.py]
• cs-analyze-processdump.py [https://blog.didierstevens.com/2021/11/25/new-tool-cs-analyze-processdump-py/]
• cs-extract-key.py [https://blog.didierstevens.com/2021/11/03/new-tool-cs-extract-key-py/]
Конкретный пример использования инструментов можно увидеть здесь - https://www.youtube.com/watch?v=VkRQTRtwJW8
#network #forensic #python
zBang
[https://github.com/cyberark/zBang]
инструмент оценки рисков, который обнаруживает потенциальные угрозы привилегированных учетных записей в сканируемой сети. Его можно использовать для выявления потенциальных векторов атак и исследования безопасности сетевой инфраструктуры. Работает с Active Directory.
• обнаруживает наиболее привилегированные учетные записи, которые должны быть защищены, включая подозрительных теневых администраторов.
• обнаруживает контроллеры домена, которые могут быть заражены вредоносным ПО Skeleton Key.
• обнаруживает скрытые привилегии в доменных учетных записях с вторичным SID.
• обнаружение рискованной конфигурации SPN, которая может привести к краже учетных данных администраторов домена.
• обнаруживает рискованную конфигурацию делегирования Kerberos в сети.
• Запускайте инструмент от имени любого пользователя домена без дополнительных привилегий; инструмент выполняет LDAP-запросы к DC только для чтения.
#pentest #windows #activedirectory
[https://github.com/cyberark/zBang]
инструмент оценки рисков, который обнаруживает потенциальные угрозы привилегированных учетных записей в сканируемой сети. Его можно использовать для выявления потенциальных векторов атак и исследования безопасности сетевой инфраструктуры. Работает с Active Directory.
• обнаруживает наиболее привилегированные учетные записи, которые должны быть защищены, включая подозрительных теневых администраторов.
• обнаруживает контроллеры домена, которые могут быть заражены вредоносным ПО Skeleton Key.
• обнаруживает скрытые привилегии в доменных учетных записях с вторичным SID.
• обнаружение рискованной конфигурации SPN, которая может привести к краже учетных данных администраторов домена.
• обнаруживает рискованную конфигурацию делегирования Kerberos в сети.
• Запускайте инструмент от имени любого пользователя домена без дополнительных привилегий; инструмент выполняет LDAP-запросы к DC только для чтения.
#pentest #windows #activedirectory
wazuh
[https://wazuh.com/]
бесплатная платформа с открытым исходным кодом, используемая для предотвращения, обнаружения и реагирования на угрозы. Она способна защищать рабочие нагрузки в локальных, виртуализированных, контейнерных и облачных средах. Состоит из агента безопасности конечных точек, разворачиваемого на контролируемых системах, и сервера управления, который собирает и анализирует данные, собранные агентами. Кроме того, Wazuh полностью интегрирован с Elastic Stack.
• сканирует контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Серверный компонент
• сервера использует сигнатурный подход к обнаружению вторжений
• агенты считывают журналы операционной системы и приложений
• осуществляет мониторинг файловой системы, выявляя изменения в содержимом, разрешениях, правах собственности и атрибутах файлов
• агенты собирают данные инвентаризации программного обеспечения и отправляют эту информацию на сервер, где она сопоставляется с постоянно обновляемыми базами данных CVE
• отслеживает параметры конфигурации системы и приложений, чтобы убедиться в их соответствии политике безопасности
• предоставляет готовые алгоритмы для выполнения различных контрмер по устранению активных угроз
• помогает контролировать облачную инфраструктуру на уровне API
• обеспечивает безопасность контейнеров Docker, отслеживая их поведение и обнаруживая угрозы, уязвимости и аномалии
#dfir #elk #security #platform
[https://wazuh.com/]
бесплатная платформа с открытым исходным кодом, используемая для предотвращения, обнаружения и реагирования на угрозы. Она способна защищать рабочие нагрузки в локальных, виртуализированных, контейнерных и облачных средах. Состоит из агента безопасности конечных точек, разворачиваемого на контролируемых системах, и сервера управления, который собирает и анализирует данные, собранные агентами. Кроме того, Wazuh полностью интегрирован с Elastic Stack.
• сканирует контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Серверный компонент
• сервера использует сигнатурный подход к обнаружению вторжений
• агенты считывают журналы операционной системы и приложений
• осуществляет мониторинг файловой системы, выявляя изменения в содержимом, разрешениях, правах собственности и атрибутах файлов
• агенты собирают данные инвентаризации программного обеспечения и отправляют эту информацию на сервер, где она сопоставляется с постоянно обновляемыми базами данных CVE
• отслеживает параметры конфигурации системы и приложений, чтобы убедиться в их соответствии политике безопасности
• предоставляет готовые алгоритмы для выполнения различных контрмер по устранению активных угроз
• помогает контролировать облачную инфраструктуру на уровне API
• обеспечивает безопасность контейнеров Docker, отслеживая их поведение и обнаруживая угрозы, уязвимости и аномалии
#dfir #elk #security #platform
Wazuh
Wazuh - Open Source XDR. Open Source SIEM.
Wazuh is a free and open source security platform that unifies XDR and SIEM protection for endpoints and cloud workloads.
Nanobrok
[https://github.com/P0cL4bs/Nanobrok]
веб-сервис с открытым исходным кодом для удаленного управления и защиты вашего android устройства, написанный на Python. Позволяет организовать стабильное и безопасное соединение с вашим android устройством для защиты и удаленного контроля.
• может быть установлен на локальном хосте или на VPS
• осуществляет мониторинг активности с устройства
• строит карты местоположения вашего устройства
• флаг оповещения (в случае потери или кражи)
• удаленное включение микрофона
• удаленная передача файлов (для PRO)
• сетевой сканер показывает все сетевые устройства даже удаленно (для PRO)
• позволяет установить/получить текущий текст буфера обмена удаленно или даже заблокировать устройство
• android-клиент - https://play.google.com/store/apps/details?id=com.mh4x0f.nanobrok
[https://github.com/P0cL4bs/Nanobrok]
веб-сервис с открытым исходным кодом для удаленного управления и защиты вашего android устройства, написанный на Python. Позволяет организовать стабильное и безопасное соединение с вашим android устройством для защиты и удаленного контроля.
• может быть установлен на локальном хосте или на VPS
• осуществляет мониторинг активности с устройства
• строит карты местоположения вашего устройства
• флаг оповещения (в случае потери или кражи)
• удаленное включение микрофона
• удаленная передача файлов (для PRO)
• сетевой сканер показывает все сетевые устройства даже удаленно (для PRO)
• позволяет установить/получить текущий текст буфера обмена удаленно или даже заблокировать устройство
• android-клиент - https://play.google.com/store/apps/details?id=com.mh4x0f.nanobrok
This media is not supported in your browser
VIEW IN TELEGRAM
slscan
[https://slscan.io/en/latest/]
инструмент анализа безопасности с открытым исходным кодом, который призван помочь в процессе DevSecOps и соблюдении требований безопасности. Может обнаружить различные недостатки безопасности в вашем приложении и коде инфраструктуры за одно быстрое сканирование без необходимости использования удаленного сервера. Создан для интеграции в рабочий процесс.
• Все сканеры, правила и данные, включая базу данных уязвимостей, загружаются локально для выполнения сканирования.
• Опыт работы "из коробки": Пользователям не нужно ничего настраивать или изучать, чтобы использовать сканирование на всех языках и конвейерах.
• Сканирование учетных данных для обнаружения случайных утечек секретов
• Тестирование безопасности статического анализа (SAST) для ряда языков и фреймворков
• Аудит зависимостей с открытым исходным кодом для выявления известных CVE
• Поддерживается множество языков и форматов пакетов
• Проверка на нарушение лицензий
• Сканирование образов контейнеров на наличие
[https://slscan.io/en/latest/]
инструмент анализа безопасности с открытым исходным кодом, который призван помочь в процессе DevSecOps и соблюдении требований безопасности. Может обнаружить различные недостатки безопасности в вашем приложении и коде инфраструктуры за одно быстрое сканирование без необходимости использования удаленного сервера. Создан для интеграции в рабочий процесс.
• Все сканеры, правила и данные, включая базу данных уязвимостей, загружаются локально для выполнения сканирования.
• Опыт работы "из коробки": Пользователям не нужно ничего настраивать или изучать, чтобы использовать сканирование на всех языках и конвейерах.
• Сканирование учетных данных для обнаружения случайных утечек секретов
• Тестирование безопасности статического анализа (SAST) для ряда языков и фреймворков
• Аудит зависимостей с открытым исходным кодом для выявления известных CVE
• Поддерживается множество языков и форматов пакетов
• Проверка на нарушение лицензий
• Сканирование образов контейнеров на наличие
Чемоданчик_страхового_следователя.pdf
11 MB
Небольшая и очень выборочная подборка очень простых в использование инструментов для облегчения работы страховых следователей. Слайды с выступления в "Клубе страховых конференций"
👍1
Analyze MFT
[https://github.com/dkovar/analyzeMFT]
ставший уже классическим Python-скрипт, предназначенный для парсинга файла MFT из файловой системы NTFS и представления результатов в нескольких форматах.
• вывод в файл, csv, а также информации о MAC в bodyfile
• обнаружение аномалий
• сохранение копии декодированного MFT в памяти.
• построение путей к файлам
#forensic #recovery #ntfs #python
[https://github.com/dkovar/analyzeMFT]
ставший уже классическим Python-скрипт, предназначенный для парсинга файла MFT из файловой системы NTFS и представления результатов в нескольких форматах.
• вывод в файл, csv, а также информации о MAC в bodyfile
• обнаружение аномалий
• сохранение копии декодированного MFT в памяти.
• построение путей к файлам
#forensic #recovery #ntfs #python
GitHub
GitHub - rowingdude/analyzeMFT: analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results…
analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results as accurately as possible in multiple formats. - rowingdude/analyzeMFT
yarp - yet another registry parser
[https://github.com/msuhanov/yarp]
название приложения говорит само за себя), простейший парсер регистра ОС семейства Windows (от Windows NT 3.1), написанный на Python
• подробный парсинг файлов реестра Windows
• выявление значений всех полей базовых структур реестра
• поддержка усеченных файлов реестра и фрагментов реестра
• поддержка восстановления удаленных ключей и значений
• поддержка вырезания ветвей реестра.
• поддержка файлов журнала транзакций.
#registry #python #windows
[https://github.com/msuhanov/yarp]
название приложения говорит само за себя), простейший парсер регистра ОС семейства Windows (от Windows NT 3.1), написанный на Python
• подробный парсинг файлов реестра Windows
• выявление значений всех полей базовых структур реестра
• поддержка усеченных файлов реестра и фрагментов реестра
• поддержка восстановления удаленных ключей и значений
• поддержка вырезания ветвей реестра.
• поддержка файлов журнала транзакций.
#registry #python #windows
GitHub
GitHub - msuhanov/yarp: Yet another registry parser
Yet another registry parser. Contribute to msuhanov/yarp development by creating an account on GitHub.
👍1
Phant0m | Windows Event Log Killer
[https://github.com/hlldz/Phant0m]
приложение, которое обнаруживает и убивает потоки, отвечающие за службу Event Log. В итоге Event Log кажется запущенной в системе (поскольку Phant0m не убил процесс), на самом деле она не работает (поскольку Phant0m убил потоки), а система не собирает журналы.
• работает с svchost, ведь он управляет всеми службами Windows
• использует 2 методики обнаружение идентификатора процесса Event Log: первый это определение через диспетчер управления службами (SCM) с помощью API NtQueryInformationThread, а второй - через WMI (Windows Management Instrumentation), определяя имена DLL, связанные с потоками
• реализован как в качестве отдельного EXE-файла, так и в качестве DLL
#antiforensic #windows #events
[https://github.com/hlldz/Phant0m]
приложение, которое обнаруживает и убивает потоки, отвечающие за службу Event Log. В итоге Event Log кажется запущенной в системе (поскольку Phant0m не убил процесс), на самом деле она не работает (поскольку Phant0m убил потоки), а система не собирает журналы.
• работает с svchost, ведь он управляет всеми службами Windows
• использует 2 методики обнаружение идентификатора процесса Event Log: первый это определение через диспетчер управления службами (SCM) с помощью API NtQueryInformationThread, а второй - через WMI (Windows Management Instrumentation), определяя имена DLL, связанные с потоками
• реализован как в качестве отдельного EXE-файла, так и в качестве DLL
#antiforensic #windows #events
👍2
This media is not supported in your browser
VIEW IN TELEGRAM
Arsenal
[https://github.com/Orange-Cyberdefense/arsenal]
простой и быстрый инструмент-перочинный нож, предназначенный для облегчения работы команды пентестеров. Упрощает использование многих команд, которые обычно трудно запомнить. Вы можете найти команду, выбрать ее, и она будет выполнена сразу в вашем терминале, причем вся эта функциональность не зависит от используемой оболочки.
• reverse shell: msfvenom, php, python, perl, powershell, java, ruby
• smb инструменты: enum4linux, smbmap, rpcclient, nbtscan, impacket
• атака на AD:bloodhound, rubeus
• MITM: mitm6, responder
• брутфорс: hydra, hashcat
• инструменты фаззинга: gobuster, ffuf, wfuzz
а также многое многое другое!
К изучению рекомендуем mindmap пентеста AD c репозитория разработчика!
#pentest #windows #activedirectory
[https://github.com/Orange-Cyberdefense/arsenal]
простой и быстрый инструмент-перочинный нож, предназначенный для облегчения работы команды пентестеров. Упрощает использование многих команд, которые обычно трудно запомнить. Вы можете найти команду, выбрать ее, и она будет выполнена сразу в вашем терминале, причем вся эта функциональность не зависит от используемой оболочки.
• reverse shell: msfvenom, php, python, perl, powershell, java, ruby
• smb инструменты: enum4linux, smbmap, rpcclient, nbtscan, impacket
• атака на AD:bloodhound, rubeus
• MITM: mitm6, responder
• брутфорс: hydra, hashcat
• инструменты фаззинга: gobuster, ffuf, wfuzz
а также многое многое другое!
К изучению рекомендуем mindmap пентеста AD c репозитория разработчика!
#pentest #windows #activedirectory
GOAD
[https://github.com/Orange-Cyberdefense/GOAD]
проект, представляющий лабораторию для анализа уязвимостей Active Directory. Это заранее приготовленная уязвимая среда AD, готовая к использования для отработки основных векторов атаки. Возможно пригодиться при подготовке к экзамену OSCP, у которого недавно поменялась структура.
[https://github.com/Orange-Cyberdefense/GOAD]
проект, представляющий лабораторию для анализа уязвимостей Active Directory. Это заранее приготовленная уязвимая среда AD, готовая к использования для отработки основных векторов атаки. Возможно пригодиться при подготовке к экзамену OSCP, у которого недавно поменялась структура.
GitHub
GitHub - Orange-Cyberdefense/GOAD: game of active directory
game of active directory. Contribute to Orange-Cyberdefense/GOAD development by creating an account on GitHub.
CSI-SIEM using Malcolm
[https://github.com/Information-Warfare-Center/CSI-SIEM/]
не так давно на канале был пост про виртуальные OSINT-лаборатории, которые будут полезны и для исследователей безопасности. В списке была CSI Linux (https://csilinux.com), но помимо нее разработчик радует нас SIEM, состоящей из целого списка различных инструментов для анализа трафика.
• принимает данные сетевого трафика в виде файлов PCAP и журналов Zeek
• Kibana - плагин визуализации данных с десятками готовых панелей, обеспечивающих обзор сетевых протоколов и Moloch - инструмент для поиска и идентификации сетевых сессий, включающих предполагаемые инциденты безопасности.
• работает как кластер контейнеров Docker, изолированных песочниц, каждая из которых выполняет определенную функцию системы
• все коммуникации с Malcolm защищены протоколами шифрования
• состоит из инструментов с открытым исходным кодом
#siem #network #analys
[https://github.com/Information-Warfare-Center/CSI-SIEM/]
не так давно на канале был пост про виртуальные OSINT-лаборатории, которые будут полезны и для исследователей безопасности. В списке была CSI Linux (https://csilinux.com), но помимо нее разработчик радует нас SIEM, состоящей из целого списка различных инструментов для анализа трафика.
• принимает данные сетевого трафика в виде файлов PCAP и журналов Zeek
• Kibana - плагин визуализации данных с десятками готовых панелей, обеспечивающих обзор сетевых протоколов и Moloch - инструмент для поиска и идентификации сетевых сессий, включающих предполагаемые инциденты безопасности.
• работает как кластер контейнеров Docker, изолированных песочниц, каждая из которых выполняет определенную функцию системы
• все коммуникации с Malcolm защищены протоколами шифрования
• состоит из инструментов с открытым исходным кодом
#siem #network #analys
👍1