dfir_ntfs
[https://github.com/msuhanov/dfir_ntfs]
парсер файловой системы NTFS, написанный на Python и предназначенный для мероприятий цифровой криминалистики и реагирования на инциденты
- парсит файлы $MFT, $UsnJrnl:$J, извлекает как можно больше данных.
- производит разбор томов, образов томов и теневых копий томов.
- извлечение строк имен файлов из частичных атрибутов $FILE_NAME в файловой записи, а также дополнительная проверка атрибутов $FILE_NAME в индексных записях.
- печать информации из индексных записей, найденных в журнале $LogFile.
- способен анализировать tracking.log (который содержит перемещаемую таблицу — список идентификаторов объектов и идентификаторов машин для файлов, перемещенных на другие тома). Для тома с общим сетевым ресурсом это может дать список клиентских компьютеров.
#windows #dfir #forensic #recovery #ntfs #python
[https://github.com/msuhanov/dfir_ntfs]
парсер файловой системы NTFS, написанный на Python и предназначенный для мероприятий цифровой криминалистики и реагирования на инциденты
- парсит файлы $MFT, $UsnJrnl:$J, извлекает как можно больше данных.
- производит разбор томов, образов томов и теневых копий томов.
- извлечение строк имен файлов из частичных атрибутов $FILE_NAME в файловой записи, а также дополнительная проверка атрибутов $FILE_NAME в индексных записях.
- печать информации из индексных записей, найденных в журнале $LogFile.
- способен анализировать tracking.log (который содержит перемещаемую таблицу — список идентификаторов объектов и идентификаторов машин для файлов, перемещенных на другие тома). Для тома с общим сетевым ресурсом это может дать список клиентских компьютеров.
#windows #dfir #forensic #recovery #ntfs #python
GitHub
GitHub - msuhanov/dfir_ntfs: An NTFS/FAT parser for digital forensics & incident response
An NTFS/FAT parser for digital forensics & incident response - msuhanov/dfir_ntfs
👍1
SysmonX
[https://github.com/marcosd4h/sysmonx]
Версия Sysmon (сервис, совершающий мониторинг всех процессов в системе Windows) с открытым исходным кодом, созданная с целью дать возможность безопасникам масштабировать аудит событий Windows
• расширение источников сбора данных Sysmon и создание новых событий безопасности
• расширение возможностей Sysmon по корреляции событий. Это позволяет эффективно использовать новые логические операции между событиями и создавать расширенные возможности обнаружения
• обеспечение снижения количества ложных срабатываний путем сужения круга подозрительных событий
• состоит из автономного двоичного файла, который разворачивается как служба windows, поддерживает традиционные конфигурации Sysmon, а также предоставляет возможность настраивать SysmonX через CLI.
А также подборка материалов - https://github.com/ion-storm/sysmon-config, https://github.com/MHaggis/sysmon-dfir
#windows #sysmon #infosec #events #audit #dfir
[https://github.com/marcosd4h/sysmonx]
Версия Sysmon (сервис, совершающий мониторинг всех процессов в системе Windows) с открытым исходным кодом, созданная с целью дать возможность безопасникам масштабировать аудит событий Windows
• расширение источников сбора данных Sysmon и создание новых событий безопасности
• расширение возможностей Sysmon по корреляции событий. Это позволяет эффективно использовать новые логические операции между событиями и создавать расширенные возможности обнаружения
• обеспечение снижения количества ложных срабатываний путем сужения круга подозрительных событий
• состоит из автономного двоичного файла, который разворачивается как служба windows, поддерживает традиционные конфигурации Sysmon, а также предоставляет возможность настраивать SysmonX через CLI.
А также подборка материалов - https://github.com/ion-storm/sysmon-config, https://github.com/MHaggis/sysmon-dfir
#windows #sysmon #infosec #events #audit #dfir
wazuh
[https://wazuh.com/]
бесплатная платформа с открытым исходным кодом, используемая для предотвращения, обнаружения и реагирования на угрозы. Она способна защищать рабочие нагрузки в локальных, виртуализированных, контейнерных и облачных средах. Состоит из агента безопасности конечных точек, разворачиваемого на контролируемых системах, и сервера управления, который собирает и анализирует данные, собранные агентами. Кроме того, Wazuh полностью интегрирован с Elastic Stack.
• сканирует контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Серверный компонент
• сервера использует сигнатурный подход к обнаружению вторжений
• агенты считывают журналы операционной системы и приложений
• осуществляет мониторинг файловой системы, выявляя изменения в содержимом, разрешениях, правах собственности и атрибутах файлов
• агенты собирают данные инвентаризации программного обеспечения и отправляют эту информацию на сервер, где она сопоставляется с постоянно обновляемыми базами данных CVE
• отслеживает параметры конфигурации системы и приложений, чтобы убедиться в их соответствии политике безопасности
• предоставляет готовые алгоритмы для выполнения различных контрмер по устранению активных угроз
• помогает контролировать облачную инфраструктуру на уровне API
• обеспечивает безопасность контейнеров Docker, отслеживая их поведение и обнаруживая угрозы, уязвимости и аномалии
#dfir #elk #security #platform
[https://wazuh.com/]
бесплатная платформа с открытым исходным кодом, используемая для предотвращения, обнаружения и реагирования на угрозы. Она способна защищать рабочие нагрузки в локальных, виртуализированных, контейнерных и облачных средах. Состоит из агента безопасности конечных точек, разворачиваемого на контролируемых системах, и сервера управления, который собирает и анализирует данные, собранные агентами. Кроме того, Wazuh полностью интегрирован с Elastic Stack.
• сканирует контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Серверный компонент
• сервера использует сигнатурный подход к обнаружению вторжений
• агенты считывают журналы операционной системы и приложений
• осуществляет мониторинг файловой системы, выявляя изменения в содержимом, разрешениях, правах собственности и атрибутах файлов
• агенты собирают данные инвентаризации программного обеспечения и отправляют эту информацию на сервер, где она сопоставляется с постоянно обновляемыми базами данных CVE
• отслеживает параметры конфигурации системы и приложений, чтобы убедиться в их соответствии политике безопасности
• предоставляет готовые алгоритмы для выполнения различных контрмер по устранению активных угроз
• помогает контролировать облачную инфраструктуру на уровне API
• обеспечивает безопасность контейнеров Docker, отслеживая их поведение и обнаруживая угрозы, уязвимости и аномалии
#dfir #elk #security #platform
Wazuh
Wazuh - Open Source XDR. Open Source SIEM.
Wazuh is a free and open source security platform that unifies XDR and SIEM protection for endpoints and cloud workloads.
TheHive
[https://github.com/TheHive-Project/TheHive]
масштабируемая система менеджмента инцидентов безопасности, предназначенная для SOC, CSIRT, CERT специалистов, да и любых специалистов ИБ, занимающихся реагированием на инциденты и расследованием. Состоит из двух модулей: сам TheHive для регистрации, обработки и работы над инцидентами и Cortex для анализа и обогащения информации десятков, а то и сотен наблюдаемых данных. Очень удобно для работы в команде.
• поддержка различных модулей аутентификации (LDAP, AD, OAUTH2)
• мощный модуль статистики
• реализованы различные стратегии работы: изолированная и многопользовательская среды
• различные профили пользователей (RBAC), связанных с расследованием
• интегрируется с MISP
#forensic #dfir
[https://github.com/TheHive-Project/TheHive]
масштабируемая система менеджмента инцидентов безопасности, предназначенная для SOC, CSIRT, CERT специалистов, да и любых специалистов ИБ, занимающихся реагированием на инциденты и расследованием. Состоит из двух модулей: сам TheHive для регистрации, обработки и работы над инцидентами и Cortex для анализа и обогащения информации десятков, а то и сотен наблюдаемых данных. Очень удобно для работы в команде.
• поддержка различных модулей аутентификации (LDAP, AD, OAUTH2)
• мощный модуль статистики
• реализованы различные стратегии работы: изолированная и многопользовательская среды
• различные профили пользователей (RBAC), связанных с расследованием
• интегрируется с MISP
#forensic #dfir
Forwarded from Investigation & Forensic TOOLS
wazuh
[https://wazuh.com/]
бесплатная платформа с открытым исходным кодом, используемая для предотвращения, обнаружения и реагирования на угрозы. Она способна защищать рабочие нагрузки в локальных, виртуализированных, контейнерных и облачных средах. Состоит из агента безопасности конечных точек, разворачиваемого на контролируемых системах, и сервера управления, который собирает и анализирует данные, собранные агентами. Кроме того, Wazuh полностью интегрирован с Elastic Stack.
• сканирует контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Серверный компонент
• сервера использует сигнатурный подход к обнаружению вторжений
• агенты считывают журналы операционной системы и приложений
• осуществляет мониторинг файловой системы, выявляя изменения в содержимом, разрешениях, правах собственности и атрибутах файлов
• агенты собирают данные инвентаризации программного обеспечения и отправляют эту информацию на сервер, где она сопоставляется с постоянно обновляемыми базами данных CVE
• отслеживает параметры конфигурации системы и приложений, чтобы убедиться в их соответствии политике безопасности
• предоставляет готовые алгоритмы для выполнения различных контрмер по устранению активных угроз
• помогает контролировать облачную инфраструктуру на уровне API
• обеспечивает безопасность контейнеров Docker, отслеживая их поведение и обнаруживая угрозы, уязвимости и аномалии
#dfir #elk #security #platform
[https://wazuh.com/]
бесплатная платформа с открытым исходным кодом, используемая для предотвращения, обнаружения и реагирования на угрозы. Она способна защищать рабочие нагрузки в локальных, виртуализированных, контейнерных и облачных средах. Состоит из агента безопасности конечных точек, разворачиваемого на контролируемых системах, и сервера управления, который собирает и анализирует данные, собранные агентами. Кроме того, Wazuh полностью интегрирован с Elastic Stack.
• сканирует контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Серверный компонент
• сервера использует сигнатурный подход к обнаружению вторжений
• агенты считывают журналы операционной системы и приложений
• осуществляет мониторинг файловой системы, выявляя изменения в содержимом, разрешениях, правах собственности и атрибутах файлов
• агенты собирают данные инвентаризации программного обеспечения и отправляют эту информацию на сервер, где она сопоставляется с постоянно обновляемыми базами данных CVE
• отслеживает параметры конфигурации системы и приложений, чтобы убедиться в их соответствии политике безопасности
• предоставляет готовые алгоритмы для выполнения различных контрмер по устранению активных угроз
• помогает контролировать облачную инфраструктуру на уровне API
• обеспечивает безопасность контейнеров Docker, отслеживая их поведение и обнаруживая угрозы, уязвимости и аномалии
#dfir #elk #security #platform
Wazuh
Wazuh - Open Source XDR. Open Source SIEM.
Wazuh is a free and open source security platform that unifies XDR and SIEM protection for endpoints and cloud workloads.
👍10
Forwarded from Life-Hack - Хакер
Windows-forensics
#DFIR #SOC #BlueTeam
Это руководство предлагает детальное описание различных артефактов компьютерной криминалистики в Windows, которые можно использовать при проведении расследования. Для каждого артефакта предоставлена подробная информация, включая его расположение, доступные инструменты для парсинга и инструкции по интерпретации результатов извлечения криминалистических данных. Кроме того, руководство стремится стать исчерпывающим ресурсом для тех, кто хочет углубить своё понимание артефактов компьютерной криминалистики в Windows и правильно использовать их в ходе расследования.
Ссылка на GitHub.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#DFIR #SOC #BlueTeam
Это руководство предлагает детальное описание различных артефактов компьютерной криминалистики в Windows, которые можно использовать при проведении расследования. Для каждого артефакта предоставлена подробная информация, включая его расположение, доступные инструменты для парсинга и инструкции по интерпретации результатов извлечения криминалистических данных. Кроме того, руководство стремится стать исчерпывающим ресурсом для тех, кто хочет углубить своё понимание артефактов компьютерной криминалистики в Windows и правильно использовать их в ходе расследования.
Ссылка на GitHub.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
👍1
ДАЙДЖЕСТ: ДИСТРИБУТИВЫ ДЛЯ СПЕЦИАЛИСТА И ИССЛЕДОВАТЕЛЯ В ОБЛАСТИ БЕЗОПАСНОСТИ.
Каждый уважающий себя специалист по безопасности должен сам собрать свое рабочее пространство. Я ни в коем случае не призываю вас использовать один из этих дистрибутивов, так как у каждого специалиста свое направление деятельности, но использовать как референс для создания своей уникальной рабочей системы - однозначно стоит.
📚 Для всего:
💻Kali
💻Parrot Security OS
💻BlackArch
📚 Криминалистика:
💻CSI Linux
💻Tsurugi
💻SIFT workstation
📚 Анализ вредоносного ПО:
💻FLARE VM
💻REMnux VM
📚OSINT:
💻Trace Labs OSINT VM
💻Dracula OS
💻Sherlock Linux
💻OSINTUX
📚Безопасность:
💻 Tails
💻 Whonix
💻 Qubes
💻 Kodachi
📚SIGINT:
💻 Dragon OS
🏷 #криминалистика #dfir #OSINT #SIGINT #Linux #Distr #kali
Каждый уважающий себя специалист по безопасности должен сам собрать свое рабочее пространство. Я ни в коем случае не призываю вас использовать один из этих дистрибутивов, так как у каждого специалиста свое направление деятельности, но использовать как референс для создания своей уникальной рабочей системы - однозначно стоит.
📚 Для всего:
💻Kali
💻Parrot Security OS
💻BlackArch
📚 Криминалистика:
💻CSI Linux
💻Tsurugi
💻SIFT workstation
📚 Анализ вредоносного ПО:
💻FLARE VM
💻REMnux VM
📚OSINT:
💻Trace Labs OSINT VM
💻Dracula OS
💻Sherlock Linux
💻OSINTUX
📚Безопасность:
💻 Tails
💻 Whonix
💻 Qubes
💻 Kodachi
📚SIGINT:
💻 Dragon OS
🏷 #криминалистика #dfir #OSINT #SIGINT #Linux #Distr #kali
👍18