SOC分析师必备的五大蓝队工具

289 篇文章 2 订阅
235 篇文章 1 订阅

前言

安全运营中心(SOC)分析师与安全工程师和SOC经理一起实施预防、检测、监控和主动响应。SOC分析师还需要与事件响应团队密切合作,在检测到安全问题时快速有效地解决问题,因此SOC分析师/工程师必须随时了解最新的工具和技术以建立强大的防御体系。本文我们将介绍SOC分析师常用的五大蓝队工具。

一、Procmon

Procmon(进程监视器)是一个很有用的工具,它通过监视Windows上的进程活动来提供实时信息,用户可以看到流程对系统进行了哪些更改。如果检查的进程正在执行恶意活动,则可以使用Procmon工具检测到此活动。例如,进程可能正在尝试读取系统上的重要文件,或者可能正在尝试通过在注册表上创建自己的记录来维护系统上的持久性。Procmon工具的目的是实时分析机器上运行的进程。

【----帮助相关技术学习,以下所有学习资料文末免费领!----】

Procmon提供图形用户界面(GUI),包含在Sysinternals工具中。Procmon的示例截图如下:

图片

地址:

https://learn.microsoft.com/en-us/sysinternals/downloads/procmon

二、Volatility

Volatility是内存转储分析工具之一,可用于分析在事件响应过程中从受感染计算机获取的内存转储,当分析师需要分析内存转储而不是在计算机上实时执行内存分析时可使用该工具。Volatility是用于检测系统上恶意进程活动的重要工具,可对Windows和Linux机器进行内存转储分析。Volatility包含的模块能够以目标导向的方式执行分析过程。

Volatility的示例截图如下:

图片

地址:

https://www.volatilityfoundation.org/

三、Caldera

Caldera是一个可以应用MITRE创建的网络攻击方法的平台。使用此工具,可以通过应用特定的攻击方法进行各种研究。例如,可用于蓝队活动,其中应用了必要的攻击方法,并调查了可以针对此攻击采取的措施。使用Caldera,用户还可以通过执行攻击模拟来开发网络防御技术。

Caldera的示例截图如下:

图片

地址:

https://caldera.mitre.org

四、Wireshark

Wireshark可用于捕获、分析和记录通过系统上网络接口的网络数据包。Wireshark有着悠久的历史,可用于多种用途。例如,它可用于测试目的,以查看应用程序通过网络发送数据的能力是否正常工作。Wireshark工具在用于以网络安全为重点的研究时提供了有价值的信息。例如,它可以检测恶意软件与之通信的命令和控制服务器(C2服务器)的IP地址。

Wireshark提供图形用户界面(GUI),示例界面如下:

图片

地址:

https://www.wireshark.org/download.html

五、Immunity Debugger

Immunity Debugger是一种动态分析工具,支持使用逆向工程技术在汇编语言级别分析可执行文件。使用此工具的分析人员必须具备有关汇编语言、处理器工作原理和系统架构等底层技术知识。有了这些信息,分析师可以在操作过程中在处理器级别动态分析恶意软件。通过这种方式,可以看到恶意软件的行为和恶意活动。

Immunity Debugger提供图形用户界面(GUI)示例截图如下所示:

图片

地址:

https://www.immunityinc.com/products/debugger/

END

如何入门学习网络安全【黑客】

【----帮助网安学习,以下所有学习资料文末免费领!----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)

大纲

首先要找一份详细的大纲。

img

学习教程

第一阶段:零基础入门系列教程

img

该阶段学完即可年薪15w+

第二阶段:技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

img

阶段三:高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

CTF比赛视频+题库+答案汇总

img

实战训练营

img

面试刷题

img

最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。

但是,我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”,其实是“无法开始”。

几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要

资料领取

上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 即可自动领取↓↓↓
或者

点此链接】领取

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值