EthanDoctor

蓝队技能-应急响应篇&日志采集&提取查看&自动化分析Web安全&内网攻防&工具项目

Ethan医生3个月前信息收集188

 蓝队技能-工具项目-日志收集&提取查看&自动分析

#日志自动提取

1、七牛Logkit(Windows&Linux&Mac)

项目地址:https://github.com/qiniu/logkit

 

2、观星应急工具:(Windows系统日志)

SglabIr_Collector是qax旗下的一款应急响应日志收集工具,

能够快速收集服务器日志,并自动打包,将收集的文件上传观心平台即可自动分析。

 

#日志自动查看

1Fulleventlogview -windos日志事件查看器

https://www.nirsoft.net/utils/full_event_log_view.html

 

2LastActivityView -windows活动记录分析

https://www.nirsoft.net/utils/computer_activity_view.html

 

 

#Web日志自动分析

1Web - 360星图(IIS/Apache/Nginx

配置config.conf后直接打开start.bat

 

2Web - GoAccess(任何自定义日志格式字符串,安全涉及少)

https://github.com/allinurl/goaccess

使用手册:

https://goaccess.io/man

输出报告:

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED > /root/aa.html

实时监控:

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED --real-time-html > /home/wwwroot/default/x.html

 

#系统日志自动分析

#Windows:

1、小巧简单解析Windows登录日志:

单机服务器有价值,内网的域服务器分析少

https://github.com/Fheidt12/Windows_Log

https://github.com/spaceman-911/WindowsLocalLogAnalysis

 

2、可视化解析Windows登录日志:

单机服务器有价值,内网的域服务器也有分析

项目地址:https://github.com/JPCERTCC/LogonTracer

搭建参考:https://mp.weixin.qq.com/s/h22VYZc86TNFlGbUQqLj9Q

 

3、这款工具更偏识别Windows日志中的威胁信息:

项目地址:https://github.com/countercept/chainsaw

使用Sigma规则搜索所有evtx文件以了解检测逻辑并以CSV格式输出到结果文件夹

chainsaw.exe hunt output/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml -r rules/ --csv --output results

 

4、针对Windows事件日志的威胁搜寻统计数据来发现异常:

https://github.com/ahmedkhlief/APT-Hunter

d:\Python3.8\python.exe APT-Hunter.py -sigma -rules rules.json -p output/ -o Project2

 

#Linux:

https://github.com/grayddq/GScan

https://github.com/enomothem/Whoamifuck

https://github.com/Ashro-one/Ashro_linux


标签: 蓝队技能
返回列表

上一篇:蓝队技能-应急响应篇&Rookit后门&进程提取&网络发现&隐藏技术&Linux杀毒&OpenArk

下一篇:云上攻防-云原生篇&Kubernetes集群&K8s安全&Taint污点横向&Pod绑定部署&实战场景模拟

相关文章

蓝队技能-报告书写篇&红蓝队&云函数域前置溯源反制&渗透测试&值守日报&安全简历模版

➢ 红蓝队技能-报告书写-渗透测试&值守日报&安全简历漏洞风险报告https://github.com/s1g0day/ShitReport 渗透测试报告启动环境:...

蓝队技能-溯源反制篇&暴打红队&C2远控&CS批量上线&CVE漏洞&口令爆破&NPS未授权

➢ 蓝队技能-溯源反制-C2CS&应用平台#溯源反制-远程控制工具-CobaltStrike对抗Cobaltstrike中的手段:1、伪造流量批量上线(欺骗防御)条件:知道对方的CS...

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

➢ 蓝队技能-Web入侵-入口&查杀&攻击链等#Web攻击事件获取当前WEB环境的组成架构(脚本,数据库,中间件,系统等)分析思路:1、利用时间节点筛选日志行为2、利用对漏洞...

蓝队技能-溯源反制篇&暴打红队&蜜罐读取&IDE上线&蚁剑RCE&Goby资产&Sqlmap命令

➢ 蓝队技能-溯源反制-蜜罐&安全工具#溯源反制-蜜罐-伪装MYSQL当红队小子对目标进行扫描时,发下存在MYSQL安全问题去利用,便会落入蓝队的陷阱https://github.c...

蓝队技能-设备部署篇&雷池WAF保护Web&蜜罐HFish溯源&堡垒机JumpServer资产管理

➢ 蓝队技能-设备部署-WAF-Web-雷池➢ 蓝队技能-设备部署-蜜罐-服务-HFish➢ 蓝队技能-设备部署-堡垒机-JumpServer#WAF-雷池SafeLin...

蓝队技能-应急响应篇&Rookit后门&进程提取&网络发现&隐藏技术&Linux杀毒&OpenArk

➢ 蓝队技能-Rookit技术-Linux&Win系统&进程隐藏&网络隐藏Windows-Rootkit演示:演示项目:https://bytecode77.com/...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号