红蓝对抗之蓝队TOP20 开源工具集(Blue Teamer)

The Hive

TheHive 是一个可扩展的 4 合 1 开源安全事件响应平台，可用于 SOC、CSIRT、CERT 或者任何需要迅速调查的场景。

官网：https://thehive-project.org

 

OSSIM

OSSIM 是一个开源安全信息和事件管理系统 (SIEM)。

官网：https://cybersecurity.att.com/products/ossim

 

The HELK

HELK 由 Roberto Rodriguez (Cyb3rWard0g) 在 GPL v3 许可下开发。 该项目是基于 ELK 堆栈以及其他有用的工具（如 Spark、Kafka 等）构建的。

官网：Cyb3rWard0g/HELK: The Hunting ELK – GitHub

Nmap

 

NMAP用于收集有关目标的信息，是最强大的网络扫描器。 它是免费和开源的。 同时可提供丰富的脚本，可执行不同类型的网络扫描。

官网：https://nmap.org/download.html

 

　　Volatility

内存恶意软件分析广泛用于数字调查和恶意软件分析。 它是指在执行恶意软件后从目标机器分析转储的内存映像的行为，以获得包括网络信息、运行进程、API 挂钩、内核加载模块、Bash 历史记录等在内的多个工件。它可以在 Windows、Linux 和 MacOS 上运行。 Volatility 支持不同的内存转储格式，包括 dd、Lime 格式、EWF 和许多其他文件。

官网：https://github.com/volatilityfoundation/volatility

 

　　Demisto Community Edition

SOAR工具包括安全编排、自动化和响应，是非常有效的平台和工具，可通过自动化许多重复的安全任务来提高效率。

官网：https://www.demisto.com/community/

 

Wireshark

Wireshark 是一款免费的开源工具，可帮助您分析具有深度检测功能的网络协议。 它使您能够执行实时数据包捕获或离线分析。 它支持许多操作系统，包括 Windows、Linux、MacOS、FreeBSD 和更多系统。

官网：https://www.wireshark.org/download.html

 

Atomic Red Team

Atomic Red Team允许每个安全团队通过执行简单的“原子测试”来测试他们的控制，这些测试执行黑客使用的相同技术（都映射到 Mitre 的 ATT&CK）

官网：https://github.com/redcanaryco/atomic-red-team

 

　　Caldera

威胁模拟工具Caldera，CALDERA 是自动化对抗仿真系统，可在 Windows企业网络中执行攻击后对抗行为。 它使用基于对抗战术、技术和常识 (ATT&CK™) 项目的计划系统和预先配置的对手模型在操作期间生成计划。

官网：https://github.com/mitre/caldera

Suricata

 

基于网络的入侵检测系统的作用是通过监控入站和出站流量来检测网络异常。 最常用的 IDS 之一是 Suricata。 Suricata 是由开放信息安全基金会 (OISF) 开发的开源 IDS/IPS

官网：https://suricata-ids.org

Zeek (Formely Bro IDS)

 

Zeek 是最受欢迎和最强大的 NIDS 之一。这个网络分析平台得到了一个庞大的专家社区的支持。 因此，它的文档非常详细和良好。

官网：https://www.zeek.org

 

OSSEC

OSSEC 是一个强大的基于主机的入侵检测系统。 它提供基于日志的入侵检测 (LID)、Rootkit 和恶意软件检测、合规性审计、文件完整性监控 (FIM) 和许多其他功能。

官网：https://www.ossec.net

 

OSQuery

OSQuery 是一个由许多操作系统支持的框架，以便使用简单的查询来执行系统分析和监控。 它使用 SQL 查询。

官网：https://www.osquery.io

 

AccessData FTK Imager

 取证镜像是数字取证中的一项非常重要的任务。 奖项是在确保数据完整性且不遗漏文件的情况下复制数据，因为保护证据并确保其得到妥善处理非常关键。 这就是普通文件复制和镜像之间存在差异的原因。

官网：https://accessdata.com/product-download/ftk-imager-version-4-2-0

 

Cuckoo

恶意软件分析是确定给定恶意软件样本（例如病毒、蠕虫、特洛伊木马、rootkit 或后门）的功能、来源和潜在影响的技术。

官网：https://cuckoo.sh/blog/

MISP

 

恶意软件信息共享平台或简称 MISP 是一个开源威胁共享平台，分析师可以在其中协作并共享有关他们之间最新威胁的信息。 该项目由 Christophe Vandeplas 开发，采用 GPL v3 许可。

官网：https://www.misp-project.org

 

Ghidra

逆向工程工具 Ghidra是开源的，由美国国家安全局研究局维护。 Ghidra 能够分析不同的文件格式。 它支持 Windows、Linux 和 MacOS。需要安装 Java 才能运行它。

官网：http://ghidra-sre.org

 

Snort

基于网络的入侵检测系统Snort得到了庞大的网络安全专家社区的支持。

官方网站：https://www.snort.org

 

Security Onion

即用型操作系统 Security Onion， 是一个免费的开源 Linux 发行版，用于入侵检测、企业安全监控和日志管理。

官网：https://github.com/Security-Onion-Solutions/security-onion