SIEM Red Team – легко развертываемый инструмент для Red Teams, используемый для отслеживания и оповещения о деятельности Blue Team, а также повышения удобства использования Red Team в долгосрочных операциях.
Цель проекта
Коротко: SIEM для red team
Больше: SIEM дляr ed team , которая служит трем целям:
- Улучшенное удобство использования и обзор для операторов red team за счет создания центрального местоположения, где собираются и обогащаются все соответствующие оперативные журналы от нескольких командных серверов. Это отлично подходит для поиска истории внутри, а также дает представление об операции только для чтения (например, для white team). Особенно полезно для многосценарных, многопользовательских, многопользовательских и многомесячных операций. Кроме того, супер простые способы просмотра всех скриншотов, IOCs, нажатия клавиш и т. д. \ O /
- Найдите blue team, располагая центральным местоположением, где все журналы трафика от перенаправителей собираются и обогащаются. Используя конкретные запросы, теперь можно обнаружить, что Blue Team исследует вашу инфраструктуру.
- Готовый к использованию, простой в установке и развертывании, а также с готовыми представлениями, информационными панелями и сигналами алертов.
Вот концептуальный обзор того, как работает RedELK.
RedELK использует типичные компоненты Filebeat (доставка), Logstash (фильтрация), Elasticsearch (хранение) и Kibana (просмотр).
Rsync используется для повторной синхронизации данных Teamserver: журналов, нажатий клавиш, снимков экрана и т. д.
Nginx используется для проверки подлинности в Kibana, а также для простой передачи снимков экрана, маяков, нажатий клавиш в браузере оператора.
Набор скриптов Python используется для интенсивного обогащения данных журнала и для обнаружения Blue Team.
Установка и использование