Halo や Gears of War などのコンピューター ゲームをプレイしたことがありますか?もしそうなら、あなたは間違いなく次のようなゲームモードに気づいたでしょう。 旗をとらえる 2 つのチームが対戦します。一方のチームは、旗を盗もうとする敵から旗を守る役割を果たします。
この 運動の種類 組織がサイバー攻撃を検出、対応、軽減する能力を評価するためにも使用されます。実際、これらのシミュレーションは、組織のシステム、人材、プロセスの弱点を攻撃者に悪用される前に特定するための鍵となります。これらの演習では、現実的なサイバー脅威をエミュレートすることで、セキュリティ担当者がインシデント対応手順を微調整し、進化するセキュリティの課題に対する防御を強化することもできます。
この記事では、両チームがどのように対決するのか、そして守備側がどのオープンソース ツールを使用するのかについて、広範な言葉で考察してきました。まず最初に、2 つのチームの役割について簡単におさらいします。
- レッドチームは攻撃者の役割を果たし、現実世界の脅威アクターの戦術を反映した戦術を活用します。この敵対的シミュレーションは、脆弱性を特定して悪用し、組織の防御を回避してシステムを侵害することにより、組織にサイバー アーマーの欠陥に対する貴重な洞察を提供します。
- 一方、青チームは防御的な役割を担い、相手の侵入を察知して阻止することを目指します。これには、さまざまなサイバーセキュリティ ツールの導入、ネットワーク トラフィックの異常や疑わしいパターンの監視、さまざまなシステムやアプリケーションによって生成されたログの確認、個々のエンドポイントからのデータの監視と収集、不正アクセスの兆候への迅速な対応などが含まれます。または不審な行動。
余談ですが、協力的なアプローチに依存し、攻撃と防御の両方の活動を統合する紫色のチームもあります。この共同の取り組みにより、攻撃チームと防御チームの間のコミュニケーションと協力が促進され、組織は脆弱性を特定し、セキュリティ制御をテストし、より包括的で統一されたアプローチを通じて全体的なセキュリティ体制を改善することができます。
さて、青チームの話に戻りますが、防御側はミッションを遂行するためにさまざまなオープンソースおよび独自のツールを使用しています。ここで、前者のカテゴリからそのようなツールをいくつか見てみましょう。
ネットワーク分析ツール
アルキメ
ネットワークトラフィックデータを効率的に処理および分析できるように設計されており、 アルキメ 大規模パケット検索およびキャプチャ (PCAP) システムです。 PCAP ファイルを参照、検索、エクスポートするための直観的な Web インターフェイスが特徴であり、その API を使用すると、PCAP および JSON 形式のセッション データを直接ダウンロードして使用できます。そうすることで、分析段階でデータを Wireshark などの特殊なトラフィック キャプチャ ツールと統合できるようになります。
Arkime は、一度に多くのシステムに展開できるように構築されており、数十ギガビット/秒のトラフィックを処理できるように拡張できます。 PCAP による大量のデータの処理は、センサーの利用可能なディスク容量と Elasticsearch クラスターの規模に基づいています。これらの機能はどちらも必要に応じてスケールアップでき、管理者の完全な制御下にあります。
鼻を鳴らす
鼻を鳴らす は、ネットワーク トラフィックを監視および分析して、潜在的なセキュリティ脅威を検出および防止するオープンソースの侵入防御システム (IPS) です。リアルタイムのトラフィック分析やパケット ロギングに広く使用されており、ネットワーク上の悪意のあるアクティビティを定義するのに役立つ一連のルールを使用して、そのような疑わしいまたは悪意のある動作に一致するパケットを見つけて、管理者にアラートを生成できます。
ホームページによると、Snort には 3 つの主な使用例があります。
- パケットトレース
- パケットログ (ネットワークトラフィックのデバッグに役立ちます)
- ネットワーク侵入防止システム (IPS)
ネットワーク上の侵入と悪意のあるアクティビティを検出するために、Snort には 3 つのグローバル ルール セットがあります。
- コミュニティ ユーザー向けのルール: すべてのユーザーがコストや登録なしで利用できるルール。
- 登録ユーザー用のルール: Snort に登録すると、ユーザーはより具体的な脅威を識別するために最適化された一連のルールにアクセスできます。
- サブスクライバー用のルール: この一連のルールにより、より正確な脅威の特定と最適化が可能になるだけでなく、脅威の更新を受信する機能も提供されます。
インシデント管理ツール
ザハイブ
ザハイブ は、インシデント処理、調査、および対応活動のための共同作業およびカスタマイズ可能なスペースを提供する、スケーラブルなセキュリティ インシデント対応プラットフォームです。 MISP (マルウェア情報共有プラットフォーム) と緊密に統合されており、セキュリティ オペレーション センター (SOC)、コンピュータ セキュリティ インシデント対応チーム (CSIRT)、コンピュータ緊急対応チーム (CERT)、およびセキュリティ インシデントに直面するその他のセキュリティ専門家のタスクを容易にします。迅速に分析して対処する必要があります。そのため、組織がセキュリティ インシデントを効果的に管理し、対応するのに役立ちます。
とても便利な機能が 3 つあります。
- コラボレーション: このプラットフォームは、(SOC) と Computer Emergency Response Team (CERT) のアナリスト間のリアルタイムのコラボレーションを促進します。これにより、事件、タスク、観察対象に対する進行中の調査の統合が容易になります。メンバーは関連情報にアクセスでき、新しい MISP イベント、アラート、電子メール レポート、SIEM 統合に関する特別な通知を利用してコミュニケーションをさらに強化できます。
- 推敲: このツールは、効率的なテンプレート エンジンを通じてケースと関連タスクの作成を簡素化します。ダッシュボードを介してメトリクスとフィールドをカスタマイズでき、プラットフォームはマルウェアや疑わしいデータを含む重要なファイルのタグ付けをサポートしています。
- 性能: 作成された各ケースに 1 から数千のオブザーバブルを追加します。これには、MISP イベントまたはプラットフォームに送信されるアラートからオブザーバブルを直接インポートするオプションや、カスタマイズ可能な分類とフィルターが含まれます。
GRR の迅速な対応
GRR の迅速な対応 は、ライブリモートフォレンジック分析を可能にするインシデント対応フレームワークです。サイバーセキュリティ調査とインシデント対応活動を促進するために、システムからフォレンジック データをリモートで収集および分析します。 GRR は、ファイル システムのメタデータ、メモリ コンテンツ、レジストリ情報、インシデント分析に重要なその他のアーティファクトなど、さまざまな種類のフォレンジック データの収集をサポートします。大規模な展開に対応できるように構築されているため、多様かつ大規模な IT インフラストラクチャを持つ企業に特に適しています。
これは、クライアントとサーバーの 2 つの部分で構成されます。
GRR クライアントは、調査対象のシステムに展開されます。これらの各システムで、GRR クライアントが展開されると、GRR フロントエンド サーバーを定期的にポーリングして、それらが機能しているかどうかを確認します。 「動作する」とは、ファイルのダウンロード、ディレクトリの列挙など、特定のアクションを実行することを意味します。
GRR サーバー インフラストラクチャは、いくつかのコンポーネント (フロントエンド、ワーカー、UI サーバー、Fleetspeak) で構成され、Web ベースの GUI と API エンドポイントを提供します。これにより、アナリストはクライアントでのアクションをスケジュールし、収集されたデータを表示および処理できます。
オペレーティング システムの分析
ヘルク
ヘルク、またはハンティング ELK は、セキュリティ専門家がプロアクティブな脅威ハンティングを実施し、セキュリティ イベントを分析し、インシデントに対応するための包括的な環境を提供するように設計されています。 ELK スタックの機能と追加ツールを活用して、多用途で拡張可能なセキュリティ分析プラットフォームを作成します。
さまざまなサイバーセキュリティ ツールを統合して、脅威ハンティングとセキュリティ分析を行うための統合プラットフォームを提供します。その主なコンポーネントは Elasticsearch、Logstash、Kibana (ELK スタック) であり、ログとデータの分析に広く使用されています。 HELK は、追加のセキュリティ ツールとデータ ソースを統合することで ELK スタックを拡張し、脅威の検出とインシデント対応の機能を強化します。
その目的は研究ですが、その柔軟な設計とコアコンポーネントにより、適切な構成とスケーラブルなインフラストラクチャを備えた大規模な環境に導入できます。
ボラティリティ(変動性)
ボラティリティフレームワーク は、ご想像のとおり、システムの揮発性メモリ (RAM) からデジタル アーティファクトを抽出するためのツールとライブラリのコレクションです。したがって、侵害されたシステムからメモリ ダンプを分析し、進行中または過去のセキュリティ インシデントに関連する貴重な情報を抽出するために、デジタル フォレンジックやインシデント対応で広く使用されています。
プラットフォームに依存しないため、Windows、Linux、macOS などのさまざまなオペレーティング システムからのメモリ ダンプをサポートします。実際、Volatility は、VMware や VirtualBox によって作成された仮想環境などの仮想化環境からのメモリ ダンプを分析することもできるため、物理システムと仮想システムの両方の状態についての洞察が得られます。
Volatility はプラグイン ベースのアーキテクチャを採用しています。これには、幅広いフォレンジック分析をカバーする豊富な組み込みプラグイン セットが付属していますが、ユーザーはカスタム プラグインを追加して機能を拡張することもできます。
まとめ
これで完了です。言うまでもなく、ブルー/レッドチームの演習は組織の防御の準備を評価するために不可欠であり、堅牢で効果的なセキュリティ戦略にとって不可欠です。この演習を通じて収集された豊富な情報により、組織はセキュリティ体制の全体像を把握でき、セキュリティ プロトコルの有効性を評価できるようになります。
さらに、ブルーチームはサイバーセキュリティのコンプライアンスと規制において重要な役割を果たしており、これは医療や金融などの規制の厳しい業界では特に重要です。ブルー/レッド チームの演習では、セキュリティ専門家に現実的なトレーニング シナリオも提供され、この実践的な経験は、実際のインシデント対応におけるスキルを磨くのに役立ちます。
どのチームにサインアップしますか?
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- :持っている
- :は
- :not
- $UP
- 22
- 36
- a
- 能力
- アクセス
- 正確な
- Action
- 行動
- 活動
- アクティビティ
- 俳優
- 実際の
- 加えます
- 追加
- 添加
- NEW
- 管理者
- 利点
- 敵対者
- に対して
- 目指して
- 警告
- アラート
- ことができます
- 沿って
- また
- 間で
- 金額
- an
- 分析
- アナリスト
- 分析論
- 分析します
- 分析
- 分析
- 分析する
- および
- 異常
- どれか
- どこにでも
- API
- アプローチ
- 建築
- です
- 記事
- AS
- 評価する
- 評価中
- 関連する
- At
- アタッカー
- 試み
- 利用できます
- バック
- ベース
- BE
- 牛肉
- 行動
- の間に
- 青
- 両言語で
- もたらす
- 広い
- ブラウジング
- 内蔵
- 内蔵
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 呼ばれます
- 缶
- 機能
- キャプチャー
- 場合
- 例
- カテゴリー
- センター
- 課題
- チャージ
- 分類
- クライアント
- クライアント
- クラスタ
- 環境、テクノロジーを推奨
- 共同
- 収集
- コレクション
- 組み合わせ
- 来ます
- コミュニケーション
- コミュニティ
- コンプライアンス
- コンポーネント
- 包括的な
- 損害を受けた
- 妥協する
- コンピュータ
- コンピュータセキュリティ
- プロフェッショナルな方法で
- からなる
- コンテンツ
- コントロール
- controls
- 協力
- 基本
- 費用
- カバー
- 作ります
- 作成した
- 創造
- 重大な
- 重大な
- カスタム
- カスタマイズ可能な
- カスタマイズ
- サイバー攻撃
- サイバーセキュリティ
- サイバー脅威
- ダッシュボード
- データ
- データ分析
- 防御
- 守備
- 定義します
- 絶対に
- 展開
- 展開する
- 配備
- 設計
- 設計
- 検出
- 検出
- 異なります
- デジタル
- 直接に
- ディレクトリにジョブを開始します。
- 異なる
- すること
- ダウンロード
- 原因
- デューク
- 間に
- 各
- 簡単
- 効果的な
- 有効
- 効率的な
- 効率良く
- 努力
- 緊急事態
- 可能
- エンドポイント
- エンジン
- 高めます
- 企業
- 環境
- 環境
- 特に
- 本質的な
- 等
- さらに
- イベント
- イベント
- EVER
- 進化
- 実行
- 運動
- 体験
- 悪用
- エクスポート
- 伸ばす
- 拡張する
- 広範囲
- エキス
- 抽出
- 顔
- 容易にする
- 促進する
- false
- 特徴
- 少数の
- フィールズ
- File
- フィルター
- ファイナンス
- もう完成させ、ワークスペースに掲示しましたか?
- 名
- フレキシブル
- 法医学
- フォレンジック
- 前者
- 助長
- フレームワーク
- から
- フロントエンド
- フロントエンド
- 満たす
- フル
- 機能性
- さらに
- ゲーム
- Games
- ゲージ
- 歯車
- 生成された
- 生成
- グローバル
- ゴエス
- 行く
- 推測された
- ハンドル
- ハンドリング
- 実践的な
- 持ってる
- ヘルスケア
- 助けます
- ことができます
- 非常に
- 包括的な
- ホームページ
- 認定条件
- HTML
- HTTPS
- 狩猟
- 識別
- 識別する
- 識別
- if
- 画像
- import
- 改善します
- in
- 事件
- インシデント対応
- 含めて
- 確かに
- 個人
- 産業
- 情報
- インフラ
- インフラ
- 洞察
- 統合された
- 統合
- 統合
- 統合
- インタフェース
- に
- 直観的な
- 調べる
- 調査
- 調査
- 関与
- IT
- ITS
- ジョイント
- 保管
- キー
- 大
- 大規模
- より大きい
- う
- レバレッジ
- ライブラリ
- linuxの
- ライブ
- ログ
- ロギング
- 見て
- MacOSの
- メイン
- make
- 作成
- 悪意のある
- マルウェア
- 管理します
- 管理
- 多くの
- 一致
- 五月..
- 意味する
- その間
- メンバー
- メモリ
- メトリック
- ミラー
- ミッション
- 軽減する
- モード
- モニタリング
- モニター
- 他には?
- ずっと
- 必要
- 必要とされる
- ネットワーク
- ネットワークトラフィック
- 新作
- 注意
- 通知
- 今
- of
- オフ
- 攻撃
- on
- かつて
- ONE
- 継続
- の
- 開いた
- オープンソース
- オペレーティング
- OS
- 業務執行統括
- 最適化
- 最適化
- オプション
- or
- 注文
- 組織
- その他
- でる
- 全体
- パケット
- 特に
- 部品
- 過去
- パターン
- のワークプ
- 以下のために
- 物理的な
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレイ
- 演劇
- プラグイン
- 世論調査
- 位置
- 潜在的な
- 電力
- 防ぐ
- 防止
- プライスレス
- 主要な
- 先を見越した
- 手続き
- プロセス
- ラボレーション
- 専門家
- 促進する
- 所有権
- 保護
- プロトコル
- 提供します
- は、大阪で
- 目的
- すぐに
- RAM
- 範囲
- 急速な
- 現実の世界
- への
- 現実的な
- 受け取ります
- レッド
- 登録された
- 登録
- 参加申し込み
- レジストリ
- 規制
- 規制産業
- 規制
- 関連する
- 関連した
- リモート
- リモートから
- レポート
- 研究
- 反応します
- 応答
- 応答
- レビュー
- 富裕層
- 右
- 堅牢な
- 職種
- 役割
- ルール
- 格言
- ド電源のデ
- 規模
- 縮尺
- シナリオ
- スケジュール
- を検索
- 検索
- セキュリティ
- セキュリティイベント
- セキュリティ上の脅威
- 送信
- シリーズ
- サーバー
- セッション
- セッションに
- セット
- いくつかの
- シェアリング
- 側
- 符号
- サイン
- 簡素化する
- シミュレーション
- スキル
- So
- ソース
- ソース
- スペース
- 特別
- 専門の
- 特定の
- スタック
- ステージ
- 米国
- 戦略
- 加入者
- そのような
- 適当
- サポート
- 疑わしい
- 素早く
- システム
- 戦術
- 取る
- 取り
- タスク
- チーム
- チーム
- template
- 十
- 条件
- test
- それ
- アプリ環境に合わせて
- それら
- そこ。
- したがって、
- ボーマン
- 彼ら
- 物事
- この
- それらの
- 数千
- 脅威
- 脅威アクター
- 脅威
- 三
- 介して
- 全体
- 阻止する
- しっかり
- 役職
- 〜へ
- 一緒に
- ツール
- 豊富なツール群
- トラフィック
- トレーニング
- 2
- ui
- 無許可
- 下
- 統一
- 更新版
- に
- つかいます
- 中古
- 便利
- ユーザー
- users
- 使用されます
- 貴重な
- 多様
- さまざまな
- 確認する
- 多才な
- 、
- 詳しく見る
- バーチャル
- 極めて重要な
- ヴイエムウェア
- ボラティリティ(変動性)
- 脆弱性
- 欲しいです
- 戦争
- we
- 弱点
- 富
- ウェブ
- ウェブベースの
- WELL
- which
- while
- 誰
- ワイド
- 広い範囲
- 広く
- 幅
- 意志
- ウィンドウズ
- 無し
- 労働者
- ワーキング
- You
- あなたの
- ゼファーネット