SOC分析师必备的五大蓝队工具
安全运营中心(SOC)分析师与安全工程师和SOC经理一起实施预防、检测、监控和主动响应。SOC分析师还需要与事件响应团队密切合作,在检测到安全问题时快速有效地解决问题,因此SOC分析师/工程师必须随时了解最新的工具和技术以建立强大的防御体系。本文我们将介绍SOC分析师常用的五大蓝队工具。
一、Procmon
Procmon(进程监视器)是一个很有用的工具,它通过监视Windows上的进程活动来提供实时信息,用户可以看到流程对系统进行了哪些更改。如果检查的进程正在执行恶意活动,则可以使用Procmon工具检测到此活动。例如,进程可能正在尝试读取系统上的重要文件,或者可能正在尝试通过在注册表上创建自己的记录来维护系统上的持久性。Procmon工具的目的是实时分析机器上运行的进程。
Procmon提供图形用户界面(GUI),包含在Sysinternals工具中。Procmon的示例截图如下:
地址:
https://learn.microsoft.com/en-us/sysinternals/downloads/procmon
二、Volatility
Volatility是内存转储分析工具之一,可用于分析在事件响应过程中从受感染计算机获取的内存转储,当分析师需要分析内存转储而不是在计算机上实时执行内存分析时可使用该工具。Volatility是用于检测系统上恶意进程活动的重要工具,可对Windows和Linux机器进行内存转储分析。Volatility包含的模块能够以目标导向的方式执行分析过程。
Volatility的示例截图如下:
地址:
https://www.volatilityfoundation.org/
三、Caldera
Caldera是一个可以应用MITRE创建的网络攻击方法的平台。使用此工具,可以通过应用特定的攻击方法进行各种研究。例如,可用于蓝队活动,其中应用了必要的攻击方法,并调查了可以针对此攻击采取的措施。使用Caldera,用户还可以通过执行攻击模拟来开发网络防御技术。
Caldera的示例截图如下:
地址:
https://caldera.mitre.org
四、Wireshark
Wireshark可用于捕获、分析和记录通过系统上网络接口的网络数据包。Wireshark有着悠久的历史,可用于多种用途。例如,它可用于测试目的,以查看应用程序通过网络发送数据的能力是否正常工作。Wireshark工具在用于以网络安全为重点的研究时提供了有价值的信息。例如,它可以检测恶意软件与之通信的命令和控制服务器(C2服务器)的IP地址。
Wireshark提供图形用户界面(GUI),示例界面如下:
地址:
https://www.wireshark.org/download.html
五、Immunity Debugger
Immunity Debugger是一种动态分析工具,支持使用逆向工程技术在汇编语言级别分析可执行文件。使用此工具的分析人员必须具备有关汇编语言、处理器工作原理和系统架构等底层技术知识。有了这些信息,分析师可以在操作过程中在处理器级别动态分析恶意软件。通过这种方式,可以看到恶意软件的行为和恶意活动。
Immunity Debugger提供图形用户界面(GUI)示例截图如下所示:
地址:
https://www.immunityinc.com/products/debugger/
END
相关阅读