⚓ Sooty — инструмент CLI «все в одном» для анализа SOC — Information Security Squad
⚓ Sooty — инструмент CLI «все в одном» для анализа SOC

Sooty — это инструмент, разработанный с целью помочь аналитику SOC автоматизировать части рабочего процесса и ускорить его.

Основная цель Sooty — выполнять как можно больше рутинных проверок, что позволяет аналитику тратить больше времени на более глубокий анализ.

Особенности Sooty SOC

  • Фильтрует URL-адреса для безопасной отправки по электронной почте
  • Выполняет обратный поиск DNS и DNS lookup
  • Выполняет проверки репутации по:

VirusTotal

BadIP’s

Abuse IPDB

  • Проверяет, является ли IP-адрес выходным узлом TOR
    Декодирует URL-адреса Proofpoint, URL-адреса в кодировке UTF-8, URL-адреса Office SafeLink и строки Base64
  • Получаете хэши файлов и сравнивает их с VirusTotal (см. Требования)
  • Выполняет поиск WhoIs
    Проверяет имена пользователей и электронные письма с HaveIBeenPwned, чтобы увидеть, произошло ли нарушение. (см. требования)
  • Выполняет простой анализ электронных писем для получения URL-адресов, электронных писем и информации заголовка.
  • Извлечение IP-адресов из электронных писем.
  • Проверяет несокращенные URL-адреса, которые были сокращены внешними службами. (Ограничено до 10 запросов в час)
  • Запрашивает URLScan.io отчеты о репутации.
  • Анализирует адреса электронной почты на наличие известных вредоносных действий и сообщает о репутации домена, используя EmailRep.io
  • Создавает динамические шаблоны электронной почты, которые можно использовать в качестве основы для ответа на фишинговую сортировку. (Только. Msg, .eml появится в будущем обновлении)

Установка Sooty

  • Python 3.x
  • Установите все зависимости pip install -r requirements.txt
  • Чтобы использовать сравнение хэша с VirusTotal, требуется ключ API, замените ключ VT_API_KEY в коде своим собственным ключом. Инструмент по-прежнему будет работать без этого пункта, однако эта функция не будет работать.
  • Для использования средства проверки репутации с AbuseIPDB требуется ключ API, замените ключ AB_API_KEY в коде своим собственным ключом. Инструмент по-прежнему будет работать без этого пункта, однако эта функция не будет работать.
  • Для использования функции проверки URLScan.io  требуется ключ API, замените ключ URLSCAN_IO_KEY в коде своим собственным ключом. Инструмент по-прежнему будет работать без этого пункта, однако эта функция не будет работать.
  • Для использования функции HaveIBeenPwned требуется ключ API, замените ключ HIBP_API_KEY в коде своим собственным ключом. Инструмент по-прежнему будет работать без этого пункта, однако эта функция не будет работать.

Вы можете скачать Sooty здесь:

Sooty-master.zip

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40