BLUE TEAM TOOLKIT

Realizamos un post sobre las herramientas de Red Team, ahora le toca el turno a las tools destinadas a Blue Team.

Pero antes de desarrollar el post, vamos a mencionar que es y que hace un Blue Team.

El Blue Team está integrado por expertos de la seguridad informática cuya visión es la de la organización desde dentro hacia fuera. Protegen los activos de la misma contra las amenazas externas.

Tienen muy claros cuáles son los objetivos de negocio y de la estrategia de seguridad de la empresa. De este modo, lo que procuran es fortalecer la seguridad informática para que ningún intruso acceda y pueda acabar con los protocolos de defensa establecidos.

El Blue Team efectúa comprobaciones periódicas del sistema, como auditorías del sistema de nombres de dominio (DNS), de la vulnerabilidad de la red interna o externa, etc.

Es importante mencionar que este post es con fines informativos y no deben aplicarse donde no existe autorización. No nos hacemos responsables del mal uso.

Comenzamos el listado dividido por categorías.

Wireshark es el analizador de protocolo de red más importante y ampliamente utilizado del mundo. Le permite ver lo que sucede en su red a un nivel microscópico y es el estándar de facto (ya menudo de jure) en muchas empresas comerciales y sin fines de lucro, agencias gubernamentales e instituciones educativas. El desarrollo de Wireshark prospera gracias a las contribuciones voluntarias de expertos en redes de todo el mundo y es la continuación de un proyecto iniciado por Gerald Combs en 1998.

El proyecto pfSense es una distribución de cortafuegos de red gratuita, basada en el sistema operativo FreeBSD con un kernel personalizado e incluye paquetes de software gratuitos de terceros para funciones adicionales. El software pfSense, con la ayuda del sistema de paquetes, puede proporcionar la misma funcionalidad o más que los firewalls comerciales comunes, sin ninguna de las limitaciones artificiales. Ha reemplazado con éxito todos los firewalls comerciales de renombre que pueda imaginar en numerosas instalaciones en todo el mundo, incluidos Check Point, Cisco PIX, Cisco ASA, Juniper, Sonicwall, Netgear, Watchguard, Astaro y más.

Arkime, anteriormente era conocido como Moloch el cual era un kit de herramientas para capturar e indexar el tráfico en formato PCAP estándar y también proporciona herramientas para un acceso rápido a los datos indexados. El uso del formato PCAP simplifica enormemente la integración con analizadores de tráfico existentes como Wireshark. La cantidad de datos almacenados está limitada solo por el tamaño de la matriz de discos disponible. Los metadatos de la sesión se indexan en un clúster basado en el motor Elasticsearch.

Snort es el sistema de prevención de intrusiones (IPS) de código abierto más importante del mundo. Snort IPS usa una serie de reglas que ayudan a definir la actividad de red maliciosa y usa esas reglas para encontrar paquetes que coincidan con ellos y generar alertas para los usuarios.

Hunting ELK o simplemente HELK es una de las primeras plataformas de búsqueda de código abierto con capacidades de análisis avanzadas, como lenguaje declarativo SQL, gráficos, transmisión estructurada e incluso aprendizaje automático a través de portátiles Jupyter y Apache Spark sobre una pila ELK. Este proyecto se desarrolló principalmente para la investigación, pero debido a su diseño flexible y sus componentes principales, se puede implementar en entornos más grandes con las configuraciones adecuadas y la infraestructura escalable.

Volatility Framework, es una colección completamente abierta de herramientas,
implementando en Python bajo la Licencia Pública General GNU, para el
extracción de artefactos digitales de muestras de memoria volátil (RAM).
Las técnicas de extracción se realizan de forma totalmente independiente del
el sistema está siendo investigado pero ofrece visibilidad en el estado de tiempo de ejecución
del sistema. El marco pretende introducir a las personas en las técnicas y complejidades asociadas con la extracción de artefactos digitales a partir de muestras de memoria volátil y proporcionar una plataforma para seguir trabajando en esta apasionante área de investigación.

RegRipper es una herramienta de código abierto, escrita en Perl, para extraer/analizar información (claves, valores, datos) del Registro y presentarla para su análisis.

OSSEC tiene un poderoso motor de análisis y correlación, que integra análisis de registros, monitoreo de integridad de archivos, monitoreo de registros de Windows, aplicación de políticas centralizadas, detección de rootkits, alertas en tiempo real y respuesta activa. Se ejecuta en la mayoría de los sistemas operativos, incluidos Linux, OpenBSD, FreeBSD, MacOS, Solaris y Windows.

osquery es un marco de instrumentación del sistema operativo para Windows, OS X (macOS) y Linux. Las herramientas hacen que el análisis y la supervisión del sistema operativo de bajo nivel sean eficaces e intuitivos.

The Hive, es una plataforma de respuesta a incidentes de seguridad escalable, de código abierto y gratuita, estrechamente integrada con MISP (Plataforma de intercambio de información de malware), diseñada para facilitar la vida de los SOC, CSIRT, CERT y cualquier profesional de seguridad de la información que se ocupe de incidentes de seguridad que deban investigarse y actuar. rápidamente.

GRR es un cliente (agente) de Python que se instala en los sistemas de destino y una infraestructura de servidor de Python que puede administrar y comunicarse con los clientes.

Kippo es un honeypot SSH de interacción media diseñado para registrar ataques de fuerza bruta y, lo que es más importante, toda la interacción del shell realizada por el atacante.

Cowrie es un honeypot SSH y Telnet de interacción media a alta diseñado para registrar ataques de fuerza bruta y la interacción del shell realizada por el atacante. En modo de interacción media (shell) emula un sistema UNIX en Python, en modo de interacción alta (proxy) funciona como proxy SSH y telnet para observar el comportamiento del atacante a otro sistema.

Dockpot es un ssh-honeypot de alta interacción basado en docker. Es básicamente un dispositivo NAT que tiene la capacidad de actuar como un proxy ssh entre el atacante y el honeypot (contenedor docker en ese caso) y registra las actividades del atacante

HonSSH está diseñado para usarse junto con un honeypot de alta interacción. HonSSH se ubica entre el atacante y el honeypot y crea dos conexiones SSH separadas.

Misp, es una plataforma de inteligencia de amenazas para compartir, almacenar y correlacionar indicadores de compromiso de ataques dirigidos, inteligencia de amenazas, información sobre fraude financiero, información sobre vulnerabilidades o incluso información contra el terrorismo. Descubra cómo MISP se usa hoy en múltiples organizaciones. No solo para almacenar, compartir, colaborar en indicadores de ciberseguridad, análisis de malware, sino también para utilizar los IoCs y la información para detectar y prevenir ataques, fraudes o amenazas contra infraestructuras TIC, organizaciones o personas.

msticpy es una biblioteca para la investigación y búsqueda de InfoSec en Jupyter Notebooks. Incluye funcionalidad para consultar datos de registro de múltiples fuentes, enriquecer los datos con Threat Intelligence, geolocalizaciones y datos de recursos de Azure, extraer indicadores de actividad (IoA) de registros y descomprimir datos codificados, realizar análisis sofisticados, como la detección de sesiones anómalas y la descomposición de series temporales, visualizar datos utilizando líneas de tiempo interactivas, árboles de proceso y gráficos Morph multidimensionales.

Cortex XDR es la primera aplicación de detección y respuesta que integra de forma nativa los datos de la red, los endpoints y la nube para detener los ataques sofisticados. Detecta las amenazas con precisión mediante análisis de comportamiento y revela la causa original de cada incidente para acelerar las investigaciones. Además, se integra perfectamente con los puntos de aplicación de políticas para poner en marcha los mecanismos de contención lo antes posible, lo que le permite detener los ataques antes de que consigan sus objetivos. Descargue la ficha técnica para conocer las principales funciones y ventajas de Cortex XDR.

Cynet 360 es una plataforma con enfoque a cibersegurida, toda la prevención, detección, correlación, investigación y respuesta que necesita respaldadas por un servicio MDR las 24 horas, los 7 días de la semana, sin el costo ni la complejidad. Libere a su equipo de seguridad de la presión constante al automatizar sus operaciones diarias de ciberseguridad.

FortiEDR ofrece protección avanzada contra amenazas en tiempo real para endpoints tanto antes como después de la infección. Reduce de forma proactiva la superficie de ataque, previene la infección de malware, detecta y desactiva posibles amenazas en tiempo real, y además puede automatizar los procedimientos de respuesta y corrección con manuales de estrategias personalizables. FortiEDR ayuda a las organizaciones a detener las violaciones en tiempo real de manera automática y eficiente, sin abrumar los equipos de seguridad con una gran cantidad de alarmas falsas ni interrumpir las operaciones de la empresa.

Alien Vault OSSIM, El SIEM de código abierto más utilizado del mundo. Información de seguridad de código abierto y gestión de eventos (SIEM), le proporciona un SIEM de código abierto rico en funciones completo con recopilación, normalización y correlación de eventos. Lanzado por ingenieros de seguridad debido a la falta de productos de código abierto disponibles, AlienVault OSSIM se creó específicamente para abordar la realidad que enfrentan muchos profesionales de la seguridad: un SIEM, ya sea de código abierto o comercial, es prácticamente inútil sin los controles de seguridad básicos necesarios para la seguridad. visibilidad.

Splank, una plataforma de datos construida para un amplio acceso a los datos, potentes análisis y automatización.

LogRhythm ayuda a los equipos de operaciones de seguridad a proteger la infraestructura y los datos críticos de las ciberamenazas.

Wazuh proporciona a los analistas correlación y contexto en tiempo real. Las respuestas activas son granulares y abarcan la remediación en el dispositivo para que los terminales se mantengan limpios y operativos.

VER POST DE RED TEAM