CIRTKit — Инструменты для команды реагирования на компьютерные инциденты

CIRTKit — это не просто набор инструментов, но и фреймворк, помогающий в постоянной унификации процессов реагирования на инциденты и расследования.

Расследования являются основой CIRTKit.

Исследование

Ответственные за инциденты и аналитики форензики генерируют большие объемы данных в ходе расследований.

Обычно эти данные хранятся в билетных системах, системах управления и менеджмента рисками, или в некоторых других вариантах постоянного хранения данных.

Целью CIRTKit является объединение основных инструментов DFIR (цифровая криминалистика и реагирование на инциденты) в одной консоли, что позволяет централизовать процесс расследования.

Существует много инструментов, которые респонденты используют для сбора, анализа и интерпретации данных.

Если мы сможем собрать все эти инструменты вместе на одной консоли, которая может централизованно хранить информацию и вредоносные артефакты, мы сможем лучше бороться с противниками.

Вдохновение

Вдохновение для CIRTKit пришло от Metasploit Framework.

Metasploit был революционным в индустрии наступательных систем безопасности, позволяя пользователям не только централизованно управлять тестами на проникновение, но также использовать и разрабатывать новые инструменты / эксплойты для дальнейшего продвижения.

Ключевой вопрос, который стимулировал запуск CIRTKit, заключался в следующем: «Почему злоумышленники более экипированы, чем защитники?»

С Metasploit злоумышленники всегда оснащены, постоянно обмениваясь новыми эксплойтами и инструментами со средой, чтобы другие могли воспользоваться известными уязвимостями.

Настало время для сетевых защитников централизовать наши наборы инструментов и легко обмениваться новыми возможностями обнаружения и реагирования с сообществом.

Установка

Настройка базы данных

lib/core/database.py

CIRTKit требует базы данных для хранения артефактов вредоносного ПО и данных расследования.

В настоящее время CIRTKit оборудован для использования баз данных SQLite и Postgres SQL.

Если вам нужно, чтобы несколько аналитиков сотрудничали в расследованиях, вам нужно настроить CIRTKit для использования Postgres, в противном случае, если вы хотите хранить информацию локально, вы можете использовать SQLite.

  • SQLite

Для SQLite вы можете просто запустить CIRTKit, и он создаст и подключится к локальному файлу SQLite.

Или вы можете указать строку подключения, чтобы использовать другой файл.

  • Postgres

Настройте базу данных Postgres и отредактируйте строки в верхней части файла database.py с учетными данными для базы данных, которую вы только что настроили.

DB_USER = '<username>'
DB_PASSWD = '<password>'

Установка зависимостей

Вы можете установить их с помощью pip (система упаковки Python), используя предоставленный файл require.txt «pip install -r needs.txt»

python cirtkity.py

Вы также можете указать флаг ‘-i’ и указать конкретное расследование.

Если его не существует, CIRTKit создаст новое расследование

Github

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40