CIRTKit – это не просто набор инструментов, но и фреймворк, помогающий в постоянной унификации процессов реагирования на инциденты и расследования.
Расследования являются основой CIRTKit.
Исследование
Ответственные за инциденты и аналитики форензики генерируют большие объемы данных в ходе расследований.
Обычно эти данные хранятся в билетных системах, системах управления и менеджмента рисками, или в некоторых других вариантах постоянного хранения данных.
Целью CIRTKit является объединение основных инструментов DFIR (цифровая криминалистика и реагирование на инциденты) в одной консоли, что позволяет централизовать процесс расследования.
Существует много инструментов, которые респонденты используют для сбора, анализа и интерпретации данных.
Если мы сможем собрать все эти инструменты вместе на одной консоли, которая может централизованно хранить информацию и вредоносные артефакты, мы сможем лучше бороться с противниками.
Вдохновение
Вдохновение для CIRTKit пришло от Metasploit Framework.
Metasploit был революционным в индустрии наступательных систем безопасности, позволяя пользователям не только централизованно управлять тестами на проникновение, но также использовать и разрабатывать новые инструменты / эксплойты для дальнейшего продвижения.
Ключевой вопрос, который стимулировал запуск CIRTKit, заключался в следующем: «Почему злоумышленники более экипированы, чем защитники?»
С Metasploit злоумышленники всегда оснащены, постоянно обмениваясь новыми эксплойтами и инструментами со средой, чтобы другие могли воспользоваться известными уязвимостями.
Настало время для сетевых защитников централизовать наши наборы инструментов и легко обмениваться новыми возможностями обнаружения и реагирования с сообществом.
Установка
Настройка базы данных
lib/core/database.py
CIRTKit требует базы данных для хранения артефактов вредоносного ПО и данных расследования.
В настоящее время CIRTKit оборудован для использования баз данных SQLite и Postgres SQL.
Если вам нужно, чтобы несколько аналитиков сотрудничали в расследованиях, вам нужно настроить CIRTKit для использования Postgres, в противном случае, если вы хотите хранить информацию локально, вы можете использовать SQLite.
- SQLite
Для SQLite вы можете просто запустить CIRTKit, и он создаст и подключится к локальному файлу SQLite.
Или вы можете указать строку подключения, чтобы использовать другой файл.
- Postgres
Настройте базу данных Postgres и отредактируйте строки в верхней части файла database.py с учетными данными для базы данных, которую вы только что настроили.
DB_USER = '<username>'
DB_PASSWD = '<password>'
Установка зависимостей
Вы можете установить их с помощью pip (система упаковки Python), используя предоставленный файл require.txt “pip install -r needs.txt”
python cirtkity.py
Вы также можете указать флаг ‘-i’ и указать конкретное расследование.
Если его не существует, CIRTKit создаст новое расследование