BlueTeamを勉強したいんじゃ！

情報が古くなったので、ちょびっと修正

目次

• BlueTeamを勉強したいんじゃ！
  • 目次
  • 練習サイトとデータセット
  • LAB
  • スクリプト等でエイヤーと構築できるやつ
  • LABの構築をするときにつかえそなやつ
  • ディストリビューション：守る側
  • ディストリビューション：攻撃側
  • 攻撃シミュレーター的なもの
  • SIEM
  • Endpoint
  • Network
  • オープンシグネチャ
  • フレームワーク

練習サイトとデータセット

• CyberDefenders

  • 現在おすすめのサイトで、Challengesがある。
  • Challengesは無料でSplunkのBoss Of The SOC(V1~V3まで)、Malware Traffic Analysis、Flare-on、 Disk Forensicsなど様々なCTFがある。
  • Challengesのコンテンツは今後もどんどん追加する予定のこと。

• malware-traffic-analysis.net

  • CyberDefendersのChallengesにあるMalware Traffic Analysisの元のサイト。
  • Traffic Analysis Exercisesという演習とブログがあり、両方ともマルウェアの通信が記録されているpcapがダウンロードできるので、マルウェアの通信解析の鍛錬ができる。

• MemLabs

  • メモリフォレンジックの練習用イメージがあるリポジトリ。
  • 7個のメモリイメージが用意されており、それぞれCTFスタイルで問題を解くことができる。

• PCAP-ATTACK

  • Attackのフェースごとにキャプチャされたpcapのリポジトリ

• Windows EVTX Samples

  • AttackのフェースごとにキャプチャされたWindowsイベントログのリポジトリ

• SecRepo

  • いろいろなデータセットのまとめサイト

• EMBER

  • 研究者用のPEファイルコレクション

• theZoo

  • マルウェア分析のために一般に公開されているリポジトリ

• Canadian Institute for Cybersecurity datasets

  • カナダサイバーセキュリティ研究所が公開しているデータセット

• OSSEM

  • まざまなデータソースとオペレーティングシステムからのセキュリティイベントログの文書化と標準化に焦点を当てたリポジトリ

• Mordor

  • データセットを作成するツール

LAB

スクリプト等でエイヤーと構築できるやつ

• DetectionLab
  • vagrantを使って自動で以下の4つのVMを構築してくれる
  • DC: Windows Server 2016 (Domain Controller)
  • WEF: Windows server 2016 (Windows Event Fowarfer)
  • Win10: Windows 10 (Endpoint)
  • Logger: An Ubuntu 16.04 (Splunk,osquery)
• DetectionLabELK
  • DetectionLabのSplunkがELK stackになったバージョン。
  • 練習サイトのCyberDefendersのLABのやつ
• ADImporter
  • ActiveDirectoryの任意のアカウントを作成するPowerShellツール
• WSLab
  • Hyper-VでWindows10またはWindows Server 2016/2019を構築するツール
• AutomatedLab
  • Hyper-vまたはAzureで、複数の製品または単一のWindowsのVMを構築するツール

LABの構築をするときにつかえそなやつ

ディストリビューション：守る側

• CAINE
  • フォレンジックを目的としたディストリビューション
• securityonion
  • CentOS7ベースのネットワーク監視を目的としたディストリビューション
• tsurugi-linux
  • フォレンジックを目的としたディストリビューション
• ADHD
  • アクティブディフェンスを目的としたディストリビューション
• csilinux
  • オンライン調査(OSINT)、インシデント対応、マルウェア解析を目的としたディストリビューション
  • CSI LinuxInvestigatorとCSI Linux SIEMの2種類がダウンロードできます。
• REMnux
  • マルウェア解析を目的としたディストリビューション
• SIFT
  • フォレンジックを目的としたディストリビューション
• Skadi
  • インシデントレスポンスを目的としたディストリビューション
• ADIA
  • インシデントレスポンスを目的としたディストリビューション

ディストリビューション：攻撃側

• Kali Linux
  • みんな大好き、説明不要
• Parrot OS
  • Kaliの対抗馬その１
• BlackArch Linux
  • Kaliの対抗馬その２

攻撃シミュレーター的なもの

• APT Simulator
  • 一連のツールと出力ファイルを使用して、システムが侵害されたかのように見せかけるWindowsバッチスクリプト
• Network Flight Simulator
  • 悪意のあるネットワークトラフィックを生成してくれるツール
• caldera
  • 敵の攻撃をエミュレーションしてくるツール
• Atomic Red Team
  • MITREのATT＆CKに基づいて攻撃してくるツール
• Infection Monkey
  • 自動化された侵入テストツール

SIEM

• AlienVault OSSIM
  • AlienVaultのオープンソースSIEM
• prelude OSS
  • PreludeSIEMのオープンソースSIEM
• Splunk
  • みんな大好きsplunk
• QRadar Community Edition
  • IBM Security QRadarのコミュニティ版
• Elastic SIEM
  • 無料かつオープンなElastic StackのSIEM
• wazuh
  • オープンソースセキュリティプラットフォーム

Endpoint

• osquery
  • SQLクエリでオペレーティングシステムのデータを探索することができるツール
• velociraptor
  • Velocidex Query Language（VQL）クエリを使用してホストベースの状態情報を収集するためのツール
• GRR Rapid Response
  • リモートライブフォレンジックに焦点を当てたインシデント対応フレームワーク
• Sysmon
  • Windowsイベントログをパワーアップさせるツール
• Open User Behavior Analytics
  • オープンソースのUser＆Entity Behavior Analytics（UEBA）フレームワーク

Network

• zeek
  • ネットワーク分析フレームワーク
• Suricata
  • オープンソースIDS
• snort
  • オープンソースIDS
• Arkime
  • 旧moloch、大規模なオープンソースのインデックス付きパケットキャプチャおよび検索システム

オープンシグネチャ

• yara
  • マルウェアサンプルを識別および分類するのを支援することを目的としたツール
• Sigma
  • ログイベントを簡単な方法で記述することを目的としたSIEM版のyaraみたいなやつ

フレームワーク

• ATT&CK
  • みんな大好きATT&CK
• Cyber Analytics Repository
  • MITRE ATT＆CKの敵対者モデルに基づいてMITREによって開発された分析の知識ベース
• ENGAGE
  • 旧Shield、Active Defenseナレッジベース
• SIEM Tactics, Techiques, and Procedures
  • SIEMに関するガイド
• DeTTECT
  • ATT＆CKを使用して、データログソースの品質、可視性カバレッジ、検出カバレッジ、および脅威アクターの動作をスコアリングおよび比較するブルーチームを支援することを目的としたツール
• D3FEND
  • 具体的な防御手法が記載されたフレーム