SOC分析师必备的五大蓝队工具

安全工程师教程

已于 2024-01-12 10:40:12 修改

阅读量251

点赞数 2

分类专栏：计算机技术学习网络安全文章标签：数据库网络安全

于 2023-07-27 16:45:00 首次发布

本文链接：https://blog.csdn.net/weixin_46428928/article/details/131935941

版权

网络安全同时被 3 个专栏收录

433 篇文章 11 订阅

订阅专栏

学习

234 篇文章 1 订阅

订阅专栏

计算机技术

226 篇文章 2 订阅

订阅专栏

前言

安全运营中心(SOC)分析师与安全工程师和SOC经理一起实施预防、检测、监控和主动响应。SOC分析师还需要与事件响应团队密切合作，在检测到安全问题时快速有效地解决问题，因此SOC分析师/工程师必须随时了解最新的工具和技术以建立强大的防御体系。本文我们将介绍SOC分析师常用的五大蓝队工具。

一、Procmon

Procmon（进程监视器）是一个很有用的工具，它通过监视Windows上的进程活动来提供实时信息，用户可以看到流程对系统进行了哪些更改。如果检查的进程正在执行恶意活动，则可以使用Procmon工具检测到此活动。例如，进程可能正在尝试读取系统上的重要文件，或者可能正在尝试通过在注册表上创建自己的记录来维护系统上的持久性。Procmon工具的目的是实时分析机器上运行的进程。

【----帮助相关技术学习，以下所有学习资料文末免费领！----】

Procmon提供图形用户界面（GUI），包含在Sysinternals工具中。Procmon的示例截图如下：

地址：

https://learn.microsoft.com/en-us/sysinternals/downloads/procmon

二、Volatility

Volatility是内存转储分析工具之一，可用于分析在事件响应过程中从受感染计算机获取的内存转储，当分析师需要分析内存转储而不是在计算机上实时执行内存分析时可使用该工具。Volatility是用于检测系统上恶意进程活动的重要工具，可对Windows和Linux机器进行内存转储分析。Volatility包含的模块能够以目标导向的方式执行分析过程。

Volatility的示例截图如下：

地址：

https://www.volatilityfoundation.org/

三、Caldera

Caldera是一个可以应用MITRE创建的网络攻击方法的平台。使用此工具，可以通过应用特定的攻击方法进行各种研究。例如，可用于蓝队活动，其中应用了必要的攻击方法，并调查了可以针对此攻击采取的措施。使用Caldera，用户还可以通过执行攻击模拟来开发网络防御技术。

Caldera的示例截图如下：

地址：

https://caldera.mitre.org

四、Wireshark

Wireshark可用于捕获、分析和记录通过系统上网络接口的网络数据包。Wireshark有着悠久的历史，可用于多种用途。例如，它可用于测试目的，以查看应用程序通过网络发送数据的能力是否正常工作。Wireshark工具在用于以网络安全为重点的研究时提供了有价值的信息。例如，它可以检测恶意软件与之通信的命令和控制服务器（C2服务器）的IP地址。

Wireshark提供图形用户界面（GUI），示例界面如下：

地址：

https://www.wireshark.org/download.html

五、Immunity Debugger

Immunity Debugger是一种动态分析工具，支持使用逆向工程技术在汇编语言级别分析可执行文件。使用此工具的分析人员必须具备有关汇编语言、处理器工作原理和系统架构等底层技术知识。有了这些信息，分析师可以在操作过程中在处理器级别动态分析恶意软件。通过这种方式，可以看到恶意软件的行为和恶意活动。

Immunity Debugger提供图形用户界面（GUI）示例截图如下所示：

地址：

https://www.immunityinc.com/products/debugger/

END

如何入门学习网络安全【黑客】

【----帮助网安学习，以下所有学习资料文末免费领！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）