Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
Help us understand the problem. What is going on with this article?

BlueTeamを勉強したいんじゃ!

守る側の勉強をしたいけど、情報が少ないのでまとめてみました。

練習サイトとデータセット

  • CyberDefenders

    • 現在おすすめのサイトで、LABとChallengesがあり、LABは好き勝手使える専用のクラウド環境がある。だたし、購入はCRというクレジットを買う必要があります。(50CR:10ドル、100CR:18ドル、500CR:90ドルの3つから選択する)
    • Challengesは無料でSplunkのBoss Of The SOC(V1~V3まで)、Malware Traffic Analysis、Flare-on、 Disk Forensicsの4種類のCTFが遊べます。
    • 上記サイトはLABs、Challengesともにコンテンツは今後もどんどん追加する予定のこと。
  • malware-traffic-analysis.net

    • CyberDefendersのChallengesにあるMalware Traffic Analysisの元のサイト。
    • Traffic Analysis Exercisesという演習とブログがあり、両方ともマルウェアの通信が記録されているpcapがダウンロードできるので、マルウェアの通信解析の鍛錬ができます。
  • MemLabs

    • メモリフォレンジックの練習用イメージがあるリポジトリです。
    • CTFスタイル問題を解くことができ、7個のメモリイメージが用意されています。
  • PCAP-ATTACK

    • Att&ckのフェースごとにキャプチャされたpcapのリポジトリ
  • Windows EVTX Samples

    • Att&ckのフェースごとにキャプチャされたWindowsイベントログのリポジトリ
  • SecRepo

    • いろいろなデータセットのまとめサイト
  • EMBER

    • 研究者用のPEファイルコレクション
  • theZoo

    • マルウェア分析のために一般に公開されているリポジトリ
  • Canadian Institute for Cybersecurity datasets

    • カナダサイバーセキュリティ研究所が公開しているデータセット
  • OSSEM

    • まざまなデータソースとオペレーティングシステムからのセキュリティイベントログの文書化と標準化に焦点を当てたリポジトリ
  • Mordor

    • データセットを作成するツール

LAB

スクリプト等でイヤーッ!と構築できるやつ

  • DetectionLab
    • vagrantを使って自動で以下の4つのVMを構築してくれる
    • DC: Windows Server 2016 (Domain Controller)
    • WEF: Windows server 2016 (Windows Event Fowarfer)
    • Win10: Windows 10 (Endpoint)
    • Logger: An Ubuntu 16.04 (Splunk,osquery)
  • DetectionLabELK
    • DetectionLabのSplunkがELK stackになったバージョン。
    • 練習サイトのCyberDefendersのLABのやつ
  • ADImporter
    • ActiveDirectoryの任意のアカウントを作成するPowerShellツール
  • WSLab
    • Hyper-VでWindows10またはWindows Server 2016/2019を構築するツール
  • AutomatedLab
    • Hyper-vまたはAzureで、複数の製品または単一のWindowsのVMを構築するツール

手動で構築するときにつかえそなやつ

ディストリビューション:守る側

  • CAINE
    • フォレンジックを目的としたディストリビューション
  • securityonion
    • ネットワーク監視を目的としたディストリビューション
    • ベータ版だけどCentOS7ベースのsecurityonion 2.0があります。
  • tsurugi-linux
    • フォレンジックを目的としたディストリビューション
  • ADHD
    • アクティブディフェンスを目的としたディストリビューション
  • csilinux
    • オンライン調査(OSINT)、インシデント対応、マルウェア解析を目的としたディストリビューション
    • CSI LinuxInvestigatorとCSI Linux SIEMの2種類がダウンロードできます。
  • REMnux
    • マルウェア解析を目的としたディストリビューション
  • SIFT
    • フォレンジックを目的としたディストリビューション
  • Skadi
    • インシデントレスポンスを目的としたディストリビューション
  • ADIA
    • インシデントレスポンスを目的としたディストリビューション

ディストリビューション:攻撃側

攻撃シミュレーター的なもの

  • APT Simulator
    • 一連のツールと出力ファイルを使用して、システムが侵害されたかのように見せかけるWindowsバッチスクリプトです。
  • Network Flight Simulator
    • 悪意のあるネットワークトラフィックを生成してくれるツールです。
  • caldera
    • 敵の攻撃をエミュレーションしてくるツール
  • Atomic Red Team
    • MITREのATT&CKに基づいて攻撃してくるツール
  • Infection Monkey
    • 自動化された侵入テストツール

SIEM

Endpoint

  • osquery
    • SQLクエリでオペレーティングシステムのデータを探索することができるツール
  • velociraptor
    • Velocidex Query Language(VQL)クエリを使用してホストベースの状態情報を収集するためのツール
  • wazuh
    • オープンソースセキュリティプラットフォーム
  • GRR Rapid Response
    • リモートライブフォレンジックに焦点を当てたインシデント対応フレームワーク
  • Sysmon
    • Windowsイベントログをパワーアップさせるツール
  • Open User Behavior Analytics
    • オープンソースのUser&Entity Behavior Analytics(UEBA)フレームワーク

Network

  • zeek
    • ネットワーク分析フレームワーク
  • Suricata
    • オープンソースIDS
  • snort
    • オープンソースIDS
  • Moloch
    • 大規模なオープンソースのインデックス付きパケットキャプチャおよび検索システム

オープンシグネチャ

  • yara
    • マルウェアサンプルを識別および分類するのを支援することを目的としたツール
  • Sigma
    • ログイベントを簡単な方法で記述することを目的としたSIEM版のyaraみたいなやつ

フレームワーク

  • ATT&CK
    • みんな大好きATT&CK
  • Cyber Analytics Repository
    • MITRE ATT&CKの敵対者モデルに基づいてMITREによって開発された分析の知識ベース
  • Shield
    • Active Defenseナレッジベース
  • SIEM Tactics, Techiques, and Procedures
    • SIEMに関するガイド
  • DeTTECT
    • ATT&CKを使用して、データログソースの品質、可視性カバレッジ、検出カバレッジ、および脅威アクターの動作をスコアリングおよび比較するブルーチームを支援することを目的としたツール
ninja400
Twitter:@momomopas
bridge-security
Customer First Cybersecurity Company 私たちはお客さまと共にたたかうセキュリティ技術会社です。
https://www.bridge-security.co.jp
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away