👥 Обзор инструментов для поиска угроз (Threat Hunting) |

👥 Обзор инструментов для поиска угроз (Threat Hunting)

Обзоры

Кибербезопасность требует, чтобы вы всегда оставались на высоте, и, к счастью, есть несколько хороших инструментов кибербезопасности, которые будут дальше перечислены, чтобы вы могли посмотреть и попробовать в деле.

Упомянутые инструменты кибербезопасности имеют простые в использовании дашборбы, и большинство из них поддерживают доступ к API.

В этом обзоре будут представлены некоторые из лучших инструментов кибербезопасности для трит хантеров и всех, кто работает в сфере кибербезопасности.

🔍 HELK – платформа для поиска угроз (Threat Hunting ) с открытым исходным кодом

Топ-7 лучших инструментов кибербезопасности:

  • Shodan
  • Virustotal
  • OTX Alienvault
  • Wireshark
  • Cyberwarzone Favicon MMH3
  • TinEye
  • MXToolbox

В большинстве случаев инструменты кибербезопасности должны ускорить процесс выполнения:

  • Автоматизированное обнаружение угроз и реагирование на них
  • Централизованный сбор логов
  • Отчеты о соблюдении нормативных требований
  • Форензика
  • Анализ киберугроз

Я включил в список инструменты, которыми пользуюсь сам.

Мне нравится доступность этих инструментов и тот факт, что поддерживаются API-запросы.

Это означает, что я могу автоматизировать многие задачи и быстро получить нужную мне информацию с помощью этих инструментов.

Невозможно перечислить все инструменты кибербезопасности в мире, но я надеюсь, что эта подборка поможет вам продвинуться вперед.

🐧 20 полезных функций и инструментов безопасности для администраторов Linux

Поисковая система Shodan

Shodan.io – это очень мощный инструмент кибербезопасности.

Она позволяет охотиться с помощью огромного списка доступных запросов.

Вы можете быстро найти серверы Cobalt Strike C2, уязвимые системы, открытые каталоги и многое другое.

В лучшем случае вы можете использовать Shodan для поиска и мониторинга вашей ИТ-инфраструктуры.

Ранее уже упоминали:

Virustotal

Это один из крупнейших онлайн-репозиториев вредоносного ПО, который вы можете найти.

Virustotal позволяет любому использовать 50+ антивирусных систем, которые они включили в свою систему песочницы (вредоносных программ).

Вы можете искать хэши, домены и URL-адреса, и если есть отчет, вы получите множество подробностей, которые помогут вам выполнить такие шаги по обеспечению кибербезопасности, как:

  • создание правил YARA
  • создание правил XDR
  • обновление брандмауэров
  • создание отчетов о ландшафте угроз

Ранее уже упоминали:

OTX Alienvault

Это онлайн-сообщество Alienvault делится подробностями (импульсами) о кибер-атаках, эти импульсы содержат информацию о IOC и ссылки на блоги и статьи, в которых обсуждаются вредоносные программы и кибер-атаки.

Alienvault можно использовать бесплатно, сообщество также предоставляет доступ к API.

 

Ранее уже упоминали:

Wireshark для анализа сетевого трафика

Wireshark появится в любом списке, который вы найдете в Интернете.

Этот инструмент анализа сетевого трафика обеспечивает быстрый доступ к захваченным (или потоковым) сетевым данным, делает данные видимыми для глаз и позволяет пользователю создавать фильтры (они могут быть сигнатурными для обнаружения вредоносного ПО).

Многие решения XDR и инструменты мониторинга кибербезопасности фактически хранят сетевые данные в виде PCAP.

Эти PCAP могут быть открыты Wireshark, так что да, этот инструмент необходим в любом арсенале.

Ранее уже упоминали:

Инструмент SNORT

SNORT – это мощная система предотвращения вторжений (IPS).

После правильной настройки и использования SNORT может стать частью вашего процесса кибербезопасности.

SNORT имеет открытый исходный код, и сообщество, стоящее за ним, очень активное.

SNORT может обнаруживать различные типы атак, он работает на любой платформе и часто используется для анализа сетевого трафика в режиме реального времени.

Это еще один отличный инструмент кибербезопасности, который зарекомендовал себя на протяжении многих лет.

Ранее уже упоминали:

Обратный поиск изображений TinEye

TinEye позволяет любому человеку искать изображение в Интернете.

TinEye используется для выявления фишинговых атак или поддельных профилей.

Он был создан для опробования различных методов и техник определения совпадающих изображений в Интернете, аналогом которого является Google Image Search.

API TinEye хорошо документирован, и вы можете включить его в любую свою программу.

MXtoolbox

MXtoolbox – это один из тех сайтов, которые просто не исчезают (к счастью).

Они предоставляют список инструментов, которые позволяют любому человеку выполнять активный поиск.

На сайте есть инструмент для проверки черных списков IP-адресов и доменов, что позволяет любому аналитику по кибербезопасности быстро выполнить проверку внешнего черного списка.

Запросы, которые вы можете выполнить на MXtoolbox;

  • MX Lookup
  • поиск черных списков
  • проверка DMARC
  • проверка работоспособности веб-сайта
  • Проверка электронной почты
  • Поиск DNS
  • Проверка анализа заголовков

см. также:

Фреймворк CIRCL AIL

AIL – это модульная структура, созданная CIRCL для анализа потенциальных утечек информации из источников неструктурированных данных.

Это означает, что вы можете добавить любой канал или источник и направить его в AIL.

Фреймворк AIL является гибким и может быть расширен для других целей.

Заключение

Кибербезопасность – это постоянная задача: вы должны постоянно сканировать угрозы, проверять уязвимости в вашей сети и принимать меры по их устранению.

Проактивный подход, при котором вы используете правильные инструменты кибербезопасности для моделирования атак, исправления уязвимостей для предотвращения (сетевых) брешей и быстрого выявления угроз, поможет вам оставаться на вершине и быстрее реагировать на угрозы.

 

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий