网络安全中的图分析技术 日益增多的重大安全事件引发了人们对打击网络威胁的兴趣。为了使合作能够防止攻击，必须有结构化和标准化的格式来描述事件。目前使用的格式复杂而广泛，因为它们是为自动化处理而设计的。这妨碍了可读性，并阻止人们理解记录的事件。 网络安全专家的工作很有挑战性。他们分析巨大的数据集来发现安全漏洞，跟踪异常现象，并修补它们。对攻击做出快速反应至关重要。结构化威胁情报对专家来说至关重要，因为它使他们能够理解攻击。但是，只有当专家能够阅读和分析这些信息时，这才有可能。专家们需要编辑它，以便轻松地包含任何额外或缺失的信息。 一、网络犯罪正蓬勃发展 在过去几年里，LinkedIn、索尼、中央情报局和纳斯达克等机构都曾遭到黑客攻击。它已经导致数百万美元的收入损失，私人信息暴露和停机时间。 这些攻击没有停止的迹象。罪犯们非常清楚信息的价值。如今，有一个“零日漏洞”(Zero-Day exploit，一种利用以前不为人知的安全漏洞的攻击方法)的黑市可以出售。最好的黑客可以把他们的发现卖给出价最高的人。在各国政府寻求武装自己的刺激下，这个市场正在蓬勃发展。 网络安全团队面临越来越大的压力。 ...

介绍Shuffle一个开源SOAR平台第1部分 所有的蓝队和信息安全部门都有两个共同的问题:警报疲劳和缺乏发展。_如果你不给安全专家难题来解决，而是给他们救火，而环境停滞不前，这最终将导致人员流动。_这是事件响应团队的一个常见主题，Shuffle正在寻求解决它。然而，如何解决这些问题呢?继续读下去，我将向您介绍开源的魔力。 Shuffle是大约一年前(2019年年中)作为一个业余项目启动的。我一遍又一遍地为胶带系统编写相同的代码，这对于30多个系统来说是相当乏味的。我知道有更好的方法，而且作为一名开发人员和安全专家，我看到了对更好结构的需求，最终导致了混乱。我最初计划把它变成一个SaaS平台，但在看到对开源SOAR平台的需求后，我决定免费提供它。 一、SOAR是什么? SOAR(安全编配、自动化和响应)已经存在几年了，它是最近信息安全行业一些大型需求的一部分。SOAR平台的重点是端到端的处理事件——在事件发生之前、期间和之后进行自动化处理。 在单一平台中，端到端的一个问题是视图很杂乱，而且很难使用，因为它们试图撒网太广。这通常以威胁情报、ticket、漏洞管理、电子邮件分析、云安全 ...

Shuffle自动化和检测框架-开源SOAR Shuffle已经有将近一年的历史了，，现在是时候用Shuffle的方式来调整检测指针了。自从上次我们写Shuffle以来，它已经发展到“任何事情都有可能”的地步，不管是好是坏。这很好，因为产品可以做很多。不好，因为它不够集中。这就是为什么在可预见的未来，我们会每月写多篇博文，强调我们现在的状况，并用Shuffle解决问题。也许我们也能解决你的问题。 我们的目标是让分析师的生活更轻松、更有成就感，而要做到这一点，我们需要从简单做起。那是什么意思？这意味着，通过更有效地使用现有工具，可以减少查看所有打开的不同浏览器选项卡所花费的大量时间，并将精力集中在最重要的任务上。 你现有的工具是什么?它们如何能被用来丰富你或你的分析师的生活?为了回答这个问题，我们深入了各种操作团队，并与他们的数百种工具进行了集成。我们还找到了导致分析员极度疲劳的根本原因。很明显，你的SOC检测有误。这是为什么。 一、开始检测 检测工程很难。这是每个人都应该做的事情，我们中的一些人确实在做，但不是我们大多数人积极关注的事情。为什么?因为这给我们自己创造了更多的工作。意思 ...

hive、Cortex和MISP可以很好地协同工作，如果你已经阅读了我们6月- 12月17日的路线图，我们的产品与事实上的威胁共享平台的集成将在几个月内变得更好。 在上周的第一次会议演示中，我们展示了一张图片，我们将在这里使用它来解释这三种开源和免费产品是如何相互集成的。 一、TheHive TheHive是一个安全事件响应平台(SIRP)。它可以接收来自不同来源的警报(SIEM、id、电子邮件)。等等)通过它的REST API。这就是警报 feeder发挥作用的地方。 1.1警报feeder 可以将警报 feeder看作一个专门的程序，它使用一个安全事件(SIEM警报、电子邮件报告、IDS警报等)，解析它并输出一个警报，该警报通过hive4.py发送给TheHive，我们提供的Python库可以与TheHive的REST API进行交互。 我们不提供这样的 feeder，但发展他们应该是直接的。如果没有，告诉我们，我们会尽最大努力帮助你。 1.2警报 任何发送到TheHive的警报都会显示在警报窗格中。除了上面提到的源之外，如果您将TheHive配置为连接到一个或多个MISP实例 ...

TheHive与Cortex和MISP结合使用 TheHive, Cortex and MISP work nicely together and if you’ve read our June-Dec 17 roadmap post, the integration of our products with the de facto threat sharing platform will get better in a few months. During the FIRST conference presentation we gave last week, we displayed a picture that we will use here to try to explain how these three open source and free products integrate with one another. A Picture is Worth a Thousand Words… TheHive TheHive is a Security Inciden ...

Thehive中调查案例管理 我花了很长时间寻找一个案例管理系统，我认为它适合分析人员实际执行调查的构造。大多数案例管理系统实际上只是经过改造以适应安全用例的帮助台ticket系统。这是我在soc使用补救、RTIR或OTRS等工具时经常看到的。去年11月，法国CERT Banque de France (CERT BDF)的一组研究人员发布了一个名为thehive的ticket管理系统。该项目的作者将thehive描述为一个“开源和自由安全事件响应平台，设计使生活更容易的SOCs, CSIRTs, CERTs，和任何信息安全从业者处理事件，需要被调查和迅速行动。“我会简单地描述thehive作为一个案件管理系统的目的，以促进调查安全事件。我非常喜欢使用thehive，以至于我实际上把它整合到我的调查理论课程中，我教人们如何接近调查和追捕坏人。在这篇文章中，我想讨论一下这个thehive的一些特点以及为什么我如此喜欢它。 一、架构和安装 这个thehive是用Scala编写的，使用ElasticSearch在后端存储和访问数据。前端使用AngularJS和Bootstrap。还提供了许 ...

安全分析工具列表 作为一家安全公司的创始人，我一直在寻找开源工具，以便将其整合到我们的产品中，或者从中获得灵感，或者提供集成。有几十种优秀的开源安全工具，所以我决定发布它们的一个列表。如此多的选项是安全如此困难的原因之一——它们有许多不同的方法来实现某件事，几乎总是涉及到配置和连接各种“点解决方案”(营销者这样称呼它们)的头疼问题。以下是列表的顺序(注意，我只列出了防御性的工具，攻击性的工具，如metasploit, nmap, wireshark等，可能需要单独发表): 一、安全监控，入侵检测/防御 Suricata -入侵检测系统 Snort -入侵检测系统 Zeek——网络安全监控 OSSEC——基于主机的入侵检测系统 Wazuh - OSSEC的一个更积极的分支 Velociraptor -端点可见性和响应 OSSIM -开源的SIEM，在AlienVault的核心 SecurityOnion——安全监控和日志管理 Elastic SIEM-Elasticsearch提供的SIEM功能 Mozdef -Elasticsearch上的SIEM Sagan -日志分析和相关性 A ...

安全洋葱的愿景 先事件处理和响应的方向发展，集成以下新功能： 1、AlienVault-OTX：我们可以很容易地将Alienvault OTX脉冲引入到安全洋葱中，并让Zeek通过利用Stephen Hosom与Alienvault OTX集成的成果将其应用到Intel框架中。 2、我们可以将Etherpad添加到Security Onion中，这样我们就可以在调查期间进行记录，并与我们的团队共享这些记录。 3、FIR。FIR (Fast Incident Response)是一个以敏捷和速度为设计理念的网络安全事件管理平台。>可以方便地创建、跟踪和报告网络安全事件。 FIR适用于需要跟踪网络安全事件(csirt、CERTs、SOCs等)的任何人。它是为了适应我们>的需要和我们团队的习惯而定制的，但是我们在发布>之前花了很大的努力使它尽可能的通用，这样世界上的其他>团队也可以使用它，并根据他们的需要进行定制。 4、GRR。GRR快速响应:事件响应的远程实时取证 5、TheHive。我们可以将事件发送到TheHive的实例，因为Elastalert包括TheHi ...

映射cve和ATT&CK框架TTPs一种经验方法 对漏洞和攻击进行划分和分类对于理解漏洞是如何被利用的以及漏洞是如何通过不同的步骤(包括侦察、漏洞检测、利用、特权升级、横向移动和泄露)展开的非常重要。 本文重点介绍如何在CVE、CAPEC、CWE和ATT&CK漏洞和攻击分类之间建立桥梁/关联，以便更好地理解攻击向量和方法。 一、映射cve和ATT&CK框架TTPs:建立基线 1.1 CVE分类法 最重要和公认的漏洞分类和分类法是CVE计划-常见漏洞和暴露，其定义为: CVE®项目的任务是识别、定义和分类公开披露的网络安全漏洞。目录中的每个漏洞都有一个CVE记录。这些漏洞被发现，然后由来自世界各地与CVE计划合作的组织分配和发布。合作伙伴发布CVE记录以交流一致的漏洞描述。信息技术和网络安全专业人员使用CVE记录来确保他们讨论的是同一个问题，并协调他们的努力来优先考虑和解决漏洞。” CVE是一个对漏洞进行分类的术语表。术语表分析漏洞，然后使用通用漏洞评分系统(CVSS)来评估漏洞的威胁级别，主要是从技术角度进行评估。 二、CVSS框架 通用漏洞评分系统(C ...

安全工具和资源 十六进制编辑器 十六进制编辑器（二进制文件编辑器或字节编辑器）是一种允许操纵计算机文件的基本二进制数据计算机程序。名称’hex’出自’hexadecimal’：用于表示二进制数据的标准数字格式 HXDhttps://mh-nexus.de/en/hxd/ 010 Editorhttp://www.sweetscape.com/010editor/ Hex Workshophttp://www.hexworkshop.com/ HexFiendhttp://ridiculousfish.com/hexfiend/ Hiewhttp://www.hiew.ru/ 反汇编 反汇编程序与反编译器不同，反编译器的目标是高级语言而不是汇编语言。反汇编（反汇编程序的输出）通常被格式化为可读性较强的汇编语言，使其成为逆向工程工具 IDA Pro https://www.hex-rays.com/products/ida/index.shtml Binary Ninjahttps://binary.ninja/ Radarehttp://www.radare.org/r/ Hopper ...