十款免费又好用的开源威胁狩猎工具推荐
十款免费又好用的开源威胁狩猎工具推荐
2023-04-13 11:39:05开源 安全 本文收集整理了目前较受安全分析师青睐的10款免费开源威胁搜寻工具,并对其应用特点进行了分析。许多公司在构建网络安全能力时,通常会从防火墙、防病毒、入侵检测和身份验证等方面来起步。当这些防护能力建设完成后,企业就会逐渐将资源投入到更复杂的主动安全实践中,例如威胁狩猎。传统的安全防御方法通常是在威胁发生后才开始工作,相比之下,威胁狩猎则是一种不同的处理方法。
组织实施威胁狩猎计划的核心目标就是要缩短出现危险和完成攻击之间的时间差,即所谓的“停留时间”。当攻击行为者在企业环境中停留的时间越长,他们可能造成的伤害后果就越大。更确切地说,威胁狩猎需要能够发现传统安全工具未检测到的风险,并帮助企业分析和提高现有威胁检测机制和流程的有效性,提出合理的安全性优化建议。此外,它们还需要能够识别新的攻击手法、战术、技术和程序 (TTP),从而发起全新的威胁处置任务。
尽管安全分析师可以人工方式完成以上各种任务,但是在效率和时间上很难满足企业的实际应用需求。更有效的威胁狩猎工作应该是在高度自动化的流程中完成,充分利用UEBA、机器学习等技术手段为分析师提供帮助。企业在选型威胁狩猎工具时,应该重点关注以下功能:
是否能够为安全分析师提供各种安全事件的信息收集服务。是否可以聚合数据,形成统一的事件记录情报。是否支持多样化的威胁检测策略。是否具有人工分析的选项。自动响应设置能力是否强大。是否可以在正式购买前提供试用。本文收集整理了目前较受安全分析师青睐的10款免费开源威胁搜寻工具,并对其应用特点进行了分析:
1、AIEngine
AIEngine是一款典型的威胁态势驱动识别工具,支持Python、Ruby、Java和Lua的数据包安全检测引擎,通过这种交互式工具,企业可以进一步提升网络系统的入侵检测能力。
AIEngine的主要功能包括下一代交互式入侵检测系统、DNS域分类、网络收集器、网络取证分析及其他安全检测功能。通过使用AIEngine,安全分析师可以快速检测垃圾邮件和收集网络信息,进一步提升网络取证分析的能力;还可以使用该工具更深入地理解流量,并为防火墙和安全软件创建威胁特征。
传送门:
https://github.com/camp0/aiengine。
2、APT-Hunter
APT- Hunter是由Ahmed Khlief设计开发,是一款面向Windows事件日志的威胁搜寻工具,可以检测可疑活动,并跟踪高级持续性威胁(APT)活动。它对威胁分析师、事件响应人员和取证调查人员大有帮助。该工具的默认规则是将Mitre ATT&CK战术与Windows事件日志的ID对应起来,从而快速检测攻击指标(包括APT技术)。
免费版的APT-Hunter可以根据已发现的APT攻击情报信息识别系统中的APT活动,通过更快速的攻击检测来缩短响应时间,并迅速遏制和根除攻击。很多安全团队也会将它用作警报过滤器,从数百万个告警事件,筛选出少数需要立即处置的高危事件。APT-Hunter有两个配套组件可以为用户提供所需的数据,这个程序可用于加快Windows日志分析,但只能部分取代。
传送门:
https://github.com/ahmedkhlief/APT-Hunter。
3、Attacker KB
每次当新的漏洞时,企业的安全团队都会急于了解:这个漏洞的覆盖范围有多广?攻击者或威胁分子会利用这个漏洞吗?为了修复或缓解漏洞而放弃其他工作是否值得?在大多数情况下,安全专家会落后于黑客们掌握漏洞可以被利用的情形和性质。Attacker KB的作用就是记录、展示和汇总各大安全社区中关于漏洞利用的专业知识。
作为一种威胁搜寻解决方案,Attacker KB可以帮助安全分析师更好地了解漏洞,包括信息披露、技术评估、结果、可利用性和实际可用性等。这些信息让安全分析师可以快速识别和排序最近漏洞和以往漏洞,并可以确定哪些漏洞可能已经存在于本组织中。
传送门:https://attackerkb.com/。
4、Automater
Automater是一款由TekDefense提供的威胁搜寻工具,可以分析URL、域和哈希,以简化入侵分析。通过使用Automater,企业可以选定一些具体的目标参数,并从广泛的公开信息源收集相关信息。
Automater是一款用Python开发的工具,放在GitHub平台上供人使用。它是免费开源的,可以通过GitHub访问。Automate的交互界面非常友好,即使对初学者也可以快速掌握,不用修改Python代码即可使用它。此外,用户可以选择自定义要检查的信息源和信息类型。
分析师们还可以使用Automater针对IP地址、MD5哈希和域进行搜索,企业可以从一些值得信赖的网站获取和Automater相关的工具,包括:Unshorten.me、Urlvoid.com、IPvoid.com、Robtex.com、Fortiguard.com、 Labs.alienvault.com、ThreatExpert、VxVault和VirusTotal。
传送门:
https://github.com/1aN0rmus/TekDefense-Automater。
5、BotScout
BotScout是一款可以防止机器人程序在网站上填写恶意表单、发送垃圾邮件以及注册论坛的威胁搜寻工具。这款工具可以跟踪机器人程序的名称、IP地址和电子邮件地址,并将它们作为关键特征来存储和记录。用户可以通过APP来查询由BotScout提供的特征数据,并评估提交到互联网上的表单是否安全。
除了手动搜索BotScout数据库查找论坛上的机器人程序外,用户还可以使用联系表单或其他Web应用程序来测试机器人程序,并根据结果进行相关的后续操作。BotScout还可以提供定制化的反恶意机器人程序插件。该工具的典型用户包括了甲骨文公司、德意志银行、那不勒斯银行、华盛顿大学和米兰大学等。
传送门:https://botscout.com/
6、CrowdFMS
CrowdFMS是一个收集和处理钓鱼邮件信息样本的自动化程序。一旦企业的员工收到恶意的钓鱼邮件,就会自动触发警报。通过使用专有的API架构,CrowdFMS提供了一个框架,用于自动收集和处理来自VirusTotal的钓鱼邮件样本。当框架下载最近的样本后,针对用户的恶意邮件和钓鱼通知内容就会被识别并触发警报。用户还可以通过CrowdFMS定制运行这些样本的特定命令。
传送门:
https://github.com/CrowdStrike/CrowdFMS。
7、Cuckoo Sandbox
Cuckoo Sandbox是一款分析恶意软件的开源工具。它可以免费下载使用,但由于需要大量的依赖项支持,其安装配置的难度较大。不过一旦成功安装,它对使用者会大有帮助。
该工具可以分析各种恶意文件,包括可执行文件、办公文档、PDF、电子邮件、脚本和网站。由于开源特性和可靠的模块化设计,用户可以根据实际需要来定制分析环境、数据处理和报告阶段。
用户可以在Windows、Linux、macOS和Android虚拟化环境下使用Cuckoo Sandbox来检测恶意文件和网站。Volatility和YARA还允许针对受感染的虚拟化系统逐个进程地执行复杂的内存分析。
Cuckoo Sandbox有两个重要的组成:首先,它是一个Linux Ubuntu主机,内置了Windows 7系统。基于Python的Cuckoo主软件包被安装在Ubuntu主机上,一并安装的几个依赖项经配置后可充分利用Cuckoo的模块化;此外,在Ubuntu主机上,安装VirtualBox,并创建Windows 7客户。Cuckoo代理可以安装在Windows 7系统上,支持两个设备之间的通信。
传送门:
https://github.com/cuckoosandbox
8、DeepBlueCLI
DeepBlueCLI是一款由Eric Conrad开发的开源工具,可以在运行ELK(Elasticsearch、Logstash和Kibana)的Linux/Unix系统或Windows(PowerShell版本)系统上自动分析安全事件日志。
DeepBlueCLI能够快速检测Windows安全、系统、应用程序、PowerShell和Sysmon日志中发现的特定事件。此外,DeepBlueCLI还可以快速处理保存或存档的EVTX文件。尽管它查询活动事件日志服务所需时间会稍长,但整体上还是很高效。
传送门:
https://github.com/sans-blue-team/DeepBlueCLI。
9、CyberChef
CyberChef是由GCHQ开发的Web应用程序,在行业中有“网络瑞士军刀”的美誉。它采用了Apache 2.0许可证,受到Crown Copyright版权的保护。
用户可以在网络浏览器中直接使用CyberChef,进行创建二进制和十六进制转储、压缩/解压缩数据、计算哈希和校验和、解析IPv6和X.509以及更改字符编码的操作,同时还包括进行XOR和Base64编码。
借助该程序,安全分析师能够以一种非常简单的方式修改和使用数据,对数据执行编码、解码、格式化、par、压缩和提取等操作,还可以执行大规模的数学运算。
传送门:
https://github.com/gchq/CyberChef。
10、Phishing Catcher
Phishing Catcher主要通过检查提交到证书透明度日志(CTL)的可疑TLS证书信息来发现潜在的钓鱼和网络欺诈活动。其最重要的优点是几乎实时运行。由于它是通过Python编写,并使用YAML进行配置,所以还非常易于使用。
据GitHub显示,Phishing Catcher可以使用YAML配置文件来进行使用策略配置,用户也可以下载并执行默认配置来实现快速部署。不过从安全方面考虑,建议企业用户尽快调整默认配置。在macOS系统下,Phishing Catcher的安装可能有难度,企业可以考虑对该工具进行容器化处理。
传送门:
https://github.com/x0rz/phishing_catcher。
参考链接:
https://heimdalsecurity.com/blog/10-free-open-source-threat-hunting-tools/。
责任编辑:姜华 来源:安全牛 开源威胁搜寻工具推荐系统
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
相关文章
- Win32程序彻底转制成Win10 UWP应用的官方指导教程
- Win10系统UGNX设置中文后出现乱码###的解决方法
- 微软打算为Win10 RS5慢速更新用户提供ISO镜像
- win8没有aero及win8如何开启aero特效
- 内地的windows系统电脑可以登录Google登录gmail吗?
- Win10 Mobile创意者更新15043慢速预览版今日推送
- 在Linux系统中使用LFTP的教程
- CentOS文本方式系统安装图文详细教程
- 在Linux系统中加密文件的方法
- Ubuntu12.04下无法使用中文输入法的解决方法
- spools.exe - spools是什么进程 有何作用
- Win8安装msi程序提示2502/2503错误导致安装失败的解决方法
- Win10 10130桌面电脑网络图标怎么设置?
- Win8设置和修改系统电源图文教程
- Win10如何在开启防火墙后让其他电脑ping通本机
- Win10任务栏通知区域图标异常怎么重置?
- Windows8系统轻松刻录各种数据光盘
- windows7声卡驱动不能安装的自动、手动修复方法
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1Win7旗舰版下载_Win7 64位旗舰版技术员优化系统2023.02下载
- 2技术员ghost win7纯净版下载_技术员联盟Win7纯净版安装下载
- 3雨林木风 GHOST WIN10 X86 快速安装版 V2020.04 (32位) 下载
- 4深度技术Win10 通用纯净版64位 v2023.02免费最新版下载
- 5新萝卜家园GHOST WIN7 家庭旗舰版X64位 v2020.01免费下载
- 6win11光盘映像ISO文件纯净下载安装 v2023
- 7WINDOWS 10 X64 【2009版】精简通用版 V2020.12 下载
- 8番茄花园 GHOST WIN7 SP1 X86 专业装机版 V2018.11 (32位) 下载
- 9风林火山 GHOST WIN7 SP1 X86 装机旗舰版 V2023.04 (32位) 下载
- 10雨林木风 Ghost XP SP3 专业装机版 YN12.5 [NTFS] 下载