Мы привыкли, что SIEM - это про то, что находится со стороны заказчика, то что использует BlueTeam для детектирования аномальной активности.
А что если использовать инструменты BlueTeam для слежки за самой BlueTeam?
Такая идея посетила ребят и на BruCon 2018 они презентовали потрясающий инструмент - RedELK - систему мониторинга активности BlueTeam.
Система пока ещё сыровата, но каждая команда может доработать ее "под себя" - главное база есть.
Закрепление в системе и пост эксплуатация - одни из последних этапов RedTeam кампаний, но одни из самых важных. Для тренировки BlueTeam необходимо имитировать реакцию злоумышленника, который пытается скрыться.
RedELK позволяет собирать логи с машин, на которых произошло закрепление, анализировать их, мониторить С2 сервера на наличие каких-либо аномалий, а также мониторить открытые ресурсы (такие как Virustotal Spamhaus и т.д.) на наличие запросов от BlueTeam по семплам.
За счёт использования связки Elasticsearch, Kibana и Logstash система позволяет обрабатывать большое количество данных и выводить только нужную информацию.
А ещё можно настроить систему уведомлений для RedTeam, если пошла какая-то активность.
В общем, делимся с вами ссылочкой на эту систему
https://github.com/outflanknl/RedELK
إرسال تعليق