Sooty – это инструмент, разработанный с целью помочь аналитику SOC автоматизировать части рабочего процесса и ускорить его.
Основная цель Sooty – выполнять как можно больше рутинных проверок, что позволяет аналитику тратить больше времени на более глубокий анализ.
Особенности Sooty SOC
- Фильтрует URL-адреса для безопасной отправки по электронной почте
- Выполняет обратный поиск DNS и DNS lookup
- Выполняет проверки репутации по:
- Проверяет, является ли IP-адрес выходным узлом TOR
Декодирует URL-адреса Proofpoint, URL-адреса в кодировке UTF-8, URL-адреса Office SafeLink и строки Base64
- Получаете хэши файлов и сравнивает их с VirusTotal (см. Требования)
- Выполняет поиск WhoIs
Проверяет имена пользователей и электронные письма с HaveIBeenPwned, чтобы увидеть, произошло ли нарушение. (см. требования)
- Выполняет простой анализ электронных писем для получения URL-адресов, электронных писем и информации заголовка.
- Извлечение IP-адресов из электронных писем.
- Проверяет несокращенные URL-адреса, которые были сокращены внешними службами. (Ограничено до 10 запросов в час)
- Запрашивает URLScan.io отчеты о репутации.
- Анализирует адреса электронной почты на наличие известных вредоносных действий и сообщает о репутации домена, используя EmailRep.io
- Создавает динамические шаблоны электронной почты, которые можно использовать в качестве основы для ответа на фишинговую сортировку. (Только. Msg, .eml появится в будущем обновлении)
Установка Sooty
- Python 3.x
-
Установите все зависимости
pip install -r requirements.txt
-
Чтобы использовать сравнение хэша с VirusTotal, требуется ключ API, замените ключ VT_API_KEY в коде своим собственным ключом. Инструмент по-прежнему будет работать без этого пункта, однако эта функция не будет работать.
-
Для использования средства проверки репутации с AbuseIPDB требуется ключ API, замените ключ AB_API_KEY в коде своим собственным ключом. Инструмент по-прежнему будет работать без этого пункта, однако эта функция не будет работать.
-
Для использования функции проверки URLScan.io требуется ключ API, замените ключ URLSCAN_IO_KEY в коде своим собственным ключом. Инструмент по-прежнему будет работать без этого пункта, однако эта функция не будет работать.
- Для использования функции HaveIBeenPwned требуется ключ API, замените ключ HIBP_API_KEY в коде своим собственным ключом. Инструмент по-прежнему будет работать без этого пункта, однако эта функция не будет работать.
Вы можете скачать Sooty здесь: