امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

معرفی 15 ابزار پرکاربرد در تیم های آبی (BlueTeams)

در این مقاله قصد داریم بپردازیم به معرفی 15 ابزار پرکاربرد در حوزه تیم آبی ( Blue Team )... این ابزارها جزوه مهم ترین و پرکاربرد ترین ابزارها در حوزه تیم آبی میباشند که به صورت رایگان و Open Source ارائه شده اند و شما برای استفاده از آنها نیازی به پرداخت هزینه ندارید.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

ابزار 1 - TheHive

ابزار TheHive یک‌ راهکار و بستر (Platform) رایگان و Open Source میباشد که که معمولا برای آسان تر کردن روند کار متخصصین حوزه های مانند SOC, CSIRT و CERT ارائه شده است زیرا این افراد همواره با رخدادهای امنیتی و خطرات مختلف روبرو میباشند. این ابزار همچنین می‌تواند با ادغام شدن با دیگر ابزارها مانند MISP به شکل خوبی عمل کند. این ابزار با ویژگی های متعدد و دارا بودن تحلیل‌گران متعدد به راحتی میتوان بر روی رخداد های و حملات و تحلیل آنها تمرکز کرد.

ابزار 2 - OSSIM

ابزار OSSIM توسط AlienVault ارائه شده است که الان بخشی از AT&T Security میباشد. دراصل AlienVault دارای دو SIEM میباشد که یکی از آنها ECS است که به صورت غیر رایگان با ویژگی های متعددی ایجاد شده است و دیگری OSSIM میباشد که به صورت رایگان و Open Source اما با ویژگی های محدودتر نسبت به ECS ارائه شده است. این SIEM به راحتی میتواند به صورت رایگان راه اندازی و نصب و راه اندازی شود و فرآيند شناسایی تهدیدات و جلوگیری از انها و تحلیل داده هارا برایمان پیاده سازی کند.

ابزار 3 - The HELK

این ابزار یکی از ابزارهای است که اگر در حوزه تیم آبی (Blue Team) و شکار تهدیدات ( Threat Hunting ) فعال هستید به احتمال زیاد اسم آن را شنیده اید. این ابزار توسط شخصی به نام روبرتو رودیگرز با نام مستعار Cyb3rWard0g تحت مجوز ( License ) GPL v3 ایجاد شده و توسعه یافته است. این ابزار برپایه ELK میباشد و از ابزارهای دیگری همچون Spark و Kafka نیز در آن استفاده شده است.

ابزار 4 - Volatility

ابزار Volatility یکی از ابزارهای محبوب در بین افرادی که در حوزه SOC و تحلیل امنیتی فعال میکنند است.‌ این ابزار دراصل یک ابزار رایگان و متن باز ( Open Source ) برای انجام فرآيند Forensic بر روی سطح Memory یا حافظه RAM میباشد. این ابزار جزوه موفق ترین ابزارها در حوزه Memory Forensic میباشد که به راحتی امکان تحلیل و شناسایی تهدیدات و استخراج داده های مختلف را از سطح یک حافظه RAM را به ما میدهد.

ابزار 5 - Demisto

یکی از فرآيند های خسته کننده برای مهندسین و تحلیلگران امنیت انجام کارهای تکراری میباشد. از برای رفع این مشکل نیاز ما به بسترهای مانند SOAR یا همان Security Orchestration Automation And Response حس میشود. ابزار Demisto یکی از بسترهای SOAR میباشد که شما میتوانید از سایت این ابزار نسخه Community آن را دانلود کنید.

ابزار 6 - Wireshark

ابزار Wireshark یکی دیگر از ابزارهای پر استفاده در حوزه تحلیل امنیتی میباشد و خودم به شخصه از این ابزار در تحلیل ترافیک بسیار استفاده میکنم... ابزار Wireshark یکی از ابزارهای Open Source و رایگان میباشد که به سبب آن ما توانایی این را داریم ترافیک های شبکه را به راحتی رصد و کنیم و بر روی آنها تحلیل داشته باشيم. این ابزار به صورت کلی یک ابزار امنیتی نمیباشد بلکه در حوزه های دیگر نیز کاربردی هست و حتی برای عیب یابی و ارتباطات شبکه نیز از آن استفاده میشود و همچنین برای فرآيند های مخرب و حملاتی مانند MITM نیز از این ابزار استفاده میشود.

ابزار 7 - Atomic Red Team

این ابزار یک ابزار برای بررسی عملکرد کنترل های امنیتی و تجهیزات امنیتی در برابر حملات مختلف میباشد. این ابزار به راحتی میتواند با پیاده سازی حملات مختلف برپایه MITRE ATT&CK کنترل های امنیتی را آزمایش کند.

ابزار 8 - MITRE Caldera

این ابزار یکی از ابزارهای MITRE میباشد که توانایی تقلید و پیاده سازی حملات حوزه تیم قرمز ( Red Team ) را با استفاده از تکنیک ها و تاکتیک های MITRE ATT&CK را دارد.

ابزار 9 - Snort

ابزار Snort یکی از سیستم های IDS/IPS بسیار پر استفاده‌ در سطح سازمانی میباشد. این ابزار به صورت رایگان و Open Source ابتدا توسط شرکت SourceFire ارایه شد و بعد درسال 2013 توسط شرکت Cisco خریداری شد. این ابزار هنوز هم به صورت رایگان و Open Source میباشد.

ابزار 10 - Suricata

ابزار Suricata نیز مانند Snort یک IDS/IPS رایگان و Open Source میباشد که از طریق آن ما توانایی شناسایی و جلوگیری از حملات را داریم... همچنین یکی‌ دیگر از ویژگی موجود در Suricata ویژگی ‌NSM میباشد.

ابزار 11 - MISP

دراصل MISP یک ابزار ساده نیست و MISP به عنوان یک بستر ( Platform ) کامل هوش تهدیدات سایبری ( Cyber Threat Intelligence ) شناخته می‌شود که از طریق آن ما میتوانیم اطلاعات هوش تهدیدات سایبری ( Cyber Threat Intelligence ) دریافت و یا به اشراک بگذاریم.

ابزار 12 - Security Onion

ا Security Onion یک توزیع لینوکسی میباشد که حاوی بسترهای متعدد است و آن را به یک بستر ( Platform ) واحد برای شناسایی تهدیدات و شکارتهدیدات، نظارت و رصد شبکه و پاسخگویی به حوادث تبدیل کرده است. Security Onion به صورت کاملا رایگان و Open Source ارائه شده است.

ابزار 13 - Cuckoo

زمانی که قصد داشته باشیم یک بدافزار که شامل نوع های مختلفی از جمله کرم ها ( Worms ) و Rootkit ها و... شود نیاز داریم که درک بسیار خوبی از این بدافزار داشته باشیم. برای اینکه این موضوع به انجام برسد و درک خوبی از بدافزار به دست بیاوریم نیاز به یک محیط جداسازی شده از سیستم داریم که به اصطلاح به آن Sandbox میگویند. ابزار Cuckoo یک Sandbox بسیار قوی جهت تحلیل بدافزارها میباشد.

ابزار 14 - OSQuery

ابزار OSQuery در اصل یکی از ابزارهای میباشد که از طریق دستورات و یا همان Query های SQL کارمیکند. از این ابزار ما میتوانیم برای شناسایی تهدیدات و تحلیل Log ها استفاده کنیم... این فرایند در OSQUERY از طریق دستورات SQL انجام میشود.

ابزار 15 - Sysmon

ابزار Sysmon یکی ابزارهای مجموعه نرم افزاری Microsoft Sysinternals میباشد که دید بهتری برای ما نسبت به Log های سیستم ویندوزی ایجاد میکند و از طریق این دید بهتر ما توانایی تحلیل و شناسایی تهدیدات را به شکل راحت تری داریم. این ابزار به صورت رایگان توسط Microsoft ارائه شده است و جزوه ابزارهای پراستفاده در بحث شکارتهدیدات (Threat Hunting) میباشد


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

نظرات