As Melhores Ferramentas para Analista de SOC
Enviado: terça mai 03, 2022 10:44 am
As Melhores Ferramentas para Analista de SOC
Vi um post no linkedin (achei legal o nome e decidi colocar como título desse post), o Andre Vianna postou, achei interessante e decide adicionar as informações do post aqui, LINK, a escolha dessas ferramentas são da LestDefende, está no final desse post e a LestDefende parece um projeto muito legal, vou ver como funciona, vi que tem o plano inicial sem custo, vou explorar melhor o que é possível fazer.
Acompanho o canal do Youtube The PC Security Channel onde é feito diversos testes de segurança e recentemente ele postou vídeo sobre ferramentas de segurança, gostei da abordagem. A ideia é identificar coisas suspeitas, vendo os executáveis/processos e saber o que é. O que não conhecer, pesquisar sobre e desativar.
A primeira ferramenta é o Autoruns, pensando em uma das ações do malware, ele irá se colocar para executar automaticamente com o sistema. O Autoruns traz muito mais detalhes que o Task-Manager (startup e msconfig), a ideia é você olhar em cada uma das as abas, ver nome dos executáveis, pesquisar e o que você achar suspeito, desabilitar para não iniciar junto com o sistema e pesquisar sobre o executável para entender. Dentro da própria aplicação tem opção de verificar no virustotal, botão direito e Check-Virus-Total, aparece ao lado de 0 a 72, quando clica no resultado terá mais detalhes.
Task Manager e msconfig
Subi uma VM zerada e executei o Autoruns, tirei alguns prints e a ideia é comparar com o da minha máquina e ver o que é natural do Windows e o que não for, pesquisar e entender. Salvei também o arquivo da VM só restaurar pra quem quiser, download aqui.
Autoruns – Windows zerado
Próxima ferramenta é o Process Explorer, é a versão com muito mais detalhes do Task-Manager e é possível executar a verificação com o virustotal também e consegue facilmente identificar se tiver algo malicioso, caso encontre você pode matar o processo ou tirar um dump para uma análise com detalhes. Pesquisar o processo/executável no google e entender sobre.
Abaixo a ferramentas que contêm no post do LestDefende. Seria melhor ver funcionando para ficar mais claro como usar, exemplos são sempre bem-vindos, não penso em fazer isso agora, mas quem sabe no futuro.
Process Hacker: Ótima ferramenta para monitorar o sistema e detectar situações suspeitas. Também é grátis.
BrowsingHistoryView: Dá-lhe o histórico de diferentes navegadores em uma tabela
FullEventLogView: Ele exibe todos os logs de eventos em uma tabela, o que ajuda a diminuir o tempo de investigação.
VirusTotal: Você pode pesquisar IP e hash no banco de dados VT. e encontre relacionamentos sobre IP/arquivos suspeitos.
Abuse IPDb: Você pode verificar se o endereço IP foi informado antes. Digamos que você encontrou um endereço IP suspeito em seus logs de firewall e deseja garantir que o endereço IP tenha feito algo errado antes.
Cisco Talos: Você pode pesquisar por IP, domínio ou proprietário da rede para dados de ameaças em tempo real. Não sei se o link acima é que eles indicaram.
AnyRun: Esta é uma plataforma interativa de análise de malware. Muito útil para encontrar endereços de comando e controle de malware e entender o propósito. Você pode usá-lo com a versão gratuita.
Hybrid-Analysis: Ele fornece um relatório de análise com a tecnologia Falcon Sandbox e Hybrid Analysis.
URLSCAN: Se você deseja especificamente verificar endereços de URL, é uma ferramenta útil para você.
MXToolBox: Durante a análise da campanha de phishing, seria útil para a análise de spoofing. Você pode comparar os endereços SMTP.
Koodous: Fornece dados APK maliciosos.
Python-oletools: Ajuda a analisar os arquivos Microsoft OLE2 (documentos do Office, mensagens do Outlook etc.)
autoruns, ferramentas de segurança, lestdefende, melhores ferramentas, msconfig, process explorer, taskmanager, the pc security channel, virustotal
Vi um post no linkedin (achei legal o nome e decidi colocar como título desse post), o Andre Vianna postou, achei interessante e decide adicionar as informações do post aqui, LINK, a escolha dessas ferramentas são da LestDefende, está no final desse post e a LestDefende parece um projeto muito legal, vou ver como funciona, vi que tem o plano inicial sem custo, vou explorar melhor o que é possível fazer.
Acompanho o canal do Youtube The PC Security Channel onde é feito diversos testes de segurança e recentemente ele postou vídeo sobre ferramentas de segurança, gostei da abordagem. A ideia é identificar coisas suspeitas, vendo os executáveis/processos e saber o que é. O que não conhecer, pesquisar sobre e desativar.
A primeira ferramenta é o Autoruns, pensando em uma das ações do malware, ele irá se colocar para executar automaticamente com o sistema. O Autoruns traz muito mais detalhes que o Task-Manager (startup e msconfig), a ideia é você olhar em cada uma das as abas, ver nome dos executáveis, pesquisar e o que você achar suspeito, desabilitar para não iniciar junto com o sistema e pesquisar sobre o executável para entender. Dentro da própria aplicação tem opção de verificar no virustotal, botão direito e Check-Virus-Total, aparece ao lado de 0 a 72, quando clica no resultado terá mais detalhes.
Task Manager e msconfig
Subi uma VM zerada e executei o Autoruns, tirei alguns prints e a ideia é comparar com o da minha máquina e ver o que é natural do Windows e o que não for, pesquisar e entender. Salvei também o arquivo da VM só restaurar pra quem quiser, download aqui.
Autoruns – Windows zerado
Próxima ferramenta é o Process Explorer, é a versão com muito mais detalhes do Task-Manager e é possível executar a verificação com o virustotal também e consegue facilmente identificar se tiver algo malicioso, caso encontre você pode matar o processo ou tirar um dump para uma análise com detalhes. Pesquisar o processo/executável no google e entender sobre.
Abaixo a ferramentas que contêm no post do LestDefende. Seria melhor ver funcionando para ficar mais claro como usar, exemplos são sempre bem-vindos, não penso em fazer isso agora, mas quem sabe no futuro.
Process Hacker: Ótima ferramenta para monitorar o sistema e detectar situações suspeitas. Também é grátis.
BrowsingHistoryView: Dá-lhe o histórico de diferentes navegadores em uma tabela
FullEventLogView: Ele exibe todos os logs de eventos em uma tabela, o que ajuda a diminuir o tempo de investigação.
VirusTotal: Você pode pesquisar IP e hash no banco de dados VT. e encontre relacionamentos sobre IP/arquivos suspeitos.
Abuse IPDb: Você pode verificar se o endereço IP foi informado antes. Digamos que você encontrou um endereço IP suspeito em seus logs de firewall e deseja garantir que o endereço IP tenha feito algo errado antes.
Cisco Talos: Você pode pesquisar por IP, domínio ou proprietário da rede para dados de ameaças em tempo real. Não sei se o link acima é que eles indicaram.
AnyRun: Esta é uma plataforma interativa de análise de malware. Muito útil para encontrar endereços de comando e controle de malware e entender o propósito. Você pode usá-lo com a versão gratuita.
Hybrid-Analysis: Ele fornece um relatório de análise com a tecnologia Falcon Sandbox e Hybrid Analysis.
URLSCAN: Se você deseja especificamente verificar endereços de URL, é uma ferramenta útil para você.
MXToolBox: Durante a análise da campanha de phishing, seria útil para a análise de spoofing. Você pode comparar os endereços SMTP.
Koodous: Fornece dados APK maliciosos.
Python-oletools: Ajuda a analisar os arquivos Microsoft OLE2 (documentos do Office, mensagens do Outlook etc.)
autoruns, ferramentas de segurança, lestdefende, melhores ferramentas, msconfig, process explorer, taskmanager, the pc security channel, virustotal