EthanDoctor

蓝队技能-应急响应篇&日志采集&提取查看&自动化分析Web安全&内网攻防&工具项目

Ethan医生2周前信息收集38

 蓝队技能-工具项目-日志收集&提取查看&自动分析

#日志自动提取

1、七牛Logkit(Windows&Linux&Mac)

项目地址:https://github.com/qiniu/logkit

 

2、观星应急工具:(Windows系统日志)

SglabIr_Collector是qax旗下的一款应急响应日志收集工具,

能够快速收集服务器日志,并自动打包,将收集的文件上传观心平台即可自动分析。

 

#日志自动查看

1Fulleventlogview -windos日志事件查看器

https://www.nirsoft.net/utils/full_event_log_view.html

 

2LastActivityView -windows活动记录分析

https://www.nirsoft.net/utils/computer_activity_view.html

 

 

#Web日志自动分析

1Web - 360星图(IIS/Apache/Nginx

配置config.conf后直接打开start.bat

 

2Web - GoAccess(任何自定义日志格式字符串,安全涉及少)

https://github.com/allinurl/goaccess

使用手册:

https://goaccess.io/man

输出报告:

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED > /root/aa.html

实时监控:

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED --real-time-html > /home/wwwroot/default/x.html

 

#系统日志自动分析

#Windows:

1、小巧简单解析Windows登录日志:

单机服务器有价值,内网的域服务器分析少

https://github.com/Fheidt12/Windows_Log

https://github.com/spaceman-911/WindowsLocalLogAnalysis

 

2、可视化解析Windows登录日志:

单机服务器有价值,内网的域服务器也有分析

项目地址:https://github.com/JPCERTCC/LogonTracer

搭建参考:https://mp.weixin.qq.com/s/h22VYZc86TNFlGbUQqLj9Q

 

3、这款工具更偏识别Windows日志中的威胁信息:

项目地址:https://github.com/countercept/chainsaw

使用Sigma规则搜索所有evtx文件以了解检测逻辑并以CSV格式输出到结果文件夹

chainsaw.exe hunt output/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml -r rules/ --csv --output results

 

4、针对Windows事件日志的威胁搜寻统计数据来发现异常:

https://github.com/ahmedkhlief/APT-Hunter

d:\Python3.8\python.exe APT-Hunter.py -sigma -rules rules.json -p output/ -o Project2

 

#Linux:

https://github.com/grayddq/GScan

https://github.com/enomothem/Whoamifuck

https://github.com/Ashro-one/Ashro_linux


标签: 蓝队技能
返回列表

上一篇:蓝队技能-应急响应篇&Rookit后门&进程提取&网络发现&隐藏技术&Linux杀毒&OpenArk

下一篇:云上攻防-云原生篇&Kubernetes集群&K8s安全&Taint污点横向&Pod绑定部署&实战场景模拟

相关文章

蓝队技能-设备部署篇&雷池WAF保护Web&蜜罐HFish溯源&堡垒机JumpServer资产管理

➢ 蓝队技能-设备部署-WAF-Web-雷池➢ 蓝队技能-设备部署-蜜罐-服务-HFish➢ 蓝队技能-设备部署-堡垒机-JumpServer#WAF-雷池SafeLin...

蓝队技能-流量分析篇&C2工具类&HTTPS协议&JA3&JA3S值&请求包体&MSF&CS&Sliver

➢ 蓝队技能-流量分析-C2远控工具#蓝队技能-流量分析-C2远控工具C2:MSF、CS、Sliver、Viper、Havoc、Vshell、Supershell等 #CSHTTP...

蓝队技能-应急响应篇&钓鱼攻击&邮件与文件&EML还原&蠕虫分析&线索定性&处置封锁

➢ 蓝队技能-钓鱼攻击-邮件&附件&分析&排查&应急#钓鱼邮件如何分析邮件安全性:1、看发信人地址2、看发信内容信息3、看发信内容附件4、查询发信域名反制&n...

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

➢ 蓝队技能-Web入侵-入口&查杀&攻击链等#Web攻击事件获取当前WEB环境的组成架构(脚本,数据库,中间件,系统等)分析思路:1、利用时间节点筛选日志行为2、利用对漏洞...

蓝队技能-应急响应篇&内网攻防&爆破事件&代理隧道&流量提进程&系统日志&处置封锁

➢ 蓝队技能-内网攻防-口令爆破&隧道技术&排查&应急#口令横向场景说明:不管在内网还是在外网,协议口令爆破一直是攻击最常见的方式。1、明确对应口令爆破的日志存储路径...

蓝队技能-应急响应篇&Rookit后门&进程提取&网络发现&隐藏技术&Linux杀毒&OpenArk

➢ 蓝队技能-Rookit技术-Linux&Win系统&进程隐藏&网络隐藏Windows-Rootkit演示:演示项目:https://bytecode77.com/...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号