Alat-alat Pilihan Yang Harus Dimiliki Setiap Blue Teamer (Artikel I)
Blue Teamer adalah tim yang bertanggung jawab untuk mempertahankan dan melindungi sistem atau organisasi dari serangan siber. Mereka bertugas memonitor dan mendeteksi ancaman keamanan, serta merespons serangan dengan cepat.
Blue Team bekerja untuk memastikan keberlanjutan operasional dan memperkuat sistem pertahanan. Tugas mereka meliputi konfigurasi keamanan, pemantauan kegiatan jaringan, analisis log, dan pemulihan sistem setelah serangan.
DAFTAR ISI
20 Alat Pilihan Bagi Blue Teamer
The Hive
TheHive adalah platform respons insiden keamanan sumber terbuka dan gratis yang dapat diukur 4-in-1, dirancang untuk memudahkan kehidupan bagi SOCs, CSIRTs, CERTs, dan praktisi keamanan informasi lainnya yang berurusan dengan insiden keamanan yang perlu diselidiki dan ditindaklanjuti dengan cepat. Berkat Cortex, mesin analisis sumber terbuka dan gratis kami yang kuat, Anda dapat menganalisis (dan menilai) observasi dalam skala besar menggunakan lebih dari 100 analisis.
OSSIM
OSSIM adalah sistem manajemen informasi dan kejadian keamanan (SIEM) sumber terbuka. Ini dikembangkan pada tahun 2003. Proyek ini kemudian diakuisisi oleh AT&T.
The HELK
Jika Anda tertarik pada threat hunting, Anda mungkin sudah pernah mendengar tentang proyek HELK. HELK dikembangkan oleh Roberto Rodriguez (Cyb3rWard0g) di bawah Lisensi GPL v3. Proyek ini dibangun berdasarkan ELK stack ditambah dengan alat bermanfaat lainnya seperti Spark, Kafka, dan sebagainya.
Nmap
Pemindaian adalah salah satu langkah yang diperlukan dalam setiap operasi serangan. Setelah mengumpulkan informasi tentang target, Anda perlu beralih ke langkah berikutnya, yaitu pemindaian. Jika Anda berkecimpung dalam keamanan informasi, Anda seharusnya memiliki Nmap di dalam gudang senjata Anda.
Nmap (singkatan dari Network mapper) adalah pemindai jaringan paling kuat. Ini gratis dan sumber terbuka. Alat ini memberi Anda kemampuan untuk melakukan berbagai jenis pemindaian jaringan, ditambah dengan kemampuan lainnya berkat skrip yang disediakannya. Selain itu, Anda dapat menulis skrip NSE sendiri.
Volatility
Analisis malware pada memori sering digunakan untuk penyelidikan digital dan analisis malware. Ini merujuk pada tindakan menganalisis gambar memori yang telah di-dump dari mesin yang ditargetkan setelah menjalankan malware untuk mendapatkan sejumlah artefak termasuk informasi jaringan, proses yang berjalan, API hooks, modul kernel yang dimuat, sejarah Bash, dll.
Volatility adalah alat paling cocok untuk itu. Ini adalah proyek sumber terbuka yang dikembangkan oleh volatility foundation. Ini dapat dijalankan di Windows, Linux, dan MacOS. Volatility mendukung berbagai format dump memori termasuk dd, Lime format, EWF, dan banyak format file lainnya.
Demisto Community Edition
Security Orchestration, Automation and Response atau SOAR secara efektif adalah platform dan alat untuk menghindari kelelahan analis dengan mengotomatiskan banyak tugas keamanan yang repetitif. Salah satu platform yang paling dikenal adalah Demisto. Platform ini juga menyediakan banyak playbook gratis.
Wireshark
Komunikasi dan jaringan sangat penting untuk setiap organisasi modern. Memastikan bahwa semua jaringan organisasi aman adalah misi kunci. Alat yang paling cocok untuk membantu Anda memonitor jaringan Anda pasti adalah Wireshark.
Wireshark adalah alat gratis dan sumber terbuka untuk membantu Anda menganalisis protokol jaringan dengan kemampuan inspeksi mendalam. Ini memberi Anda kemampuan untuk melakukan penangkapan paket secara langsung atau analisis offline. Ini mendukung banyak sistem operasi termasuk Windows, Linux, MacOS, FreeBSD, dan banyak sistem lainnya.
Atomic Red Team
Atomic Red Team memungkinkan setiap tim keamanan menguji kontrol mereka dengan menjalankan "uji atom" sederhana yang menggunakan teknik yang sama dengan yang digunakan oleh penyerang (semuanya dipetakan ke ATT&CK Mitre)
Caldera
Caldera adalah sistem emulasi lawan otomatis yang melakukan perilaku lawan setelah kompromi dalam jaringan Enterprise Windows. Ini menghasilkan rencana selama operasi menggunakan sistem perencanaan dan model lawan yang telah dikonfigurasi sebelumnya berdasarkan proyek Adversarial Tactics, Techniques & Common Knowledge (ATT&CK™).
Suricata
Sistem deteksi intrusi adalah serangkaian perangkat atau perangkat lunak yang memainkan peran besar dalam organisasi modern untuk membela diri dari intrusi dan aktivitas berbahaya. Peran sistem deteksi intrusi berbasis jaringan adalah mendeteksi anomali jaringan dengan memonitor lalu lintas masuk dan keluar.
Salah satu IDS yang paling banyak digunakan adalah Suricata. Suricata adalah IDS/IPS sumber terbuka yang dikembangkan oleh Open Information Security Foundation (OISF)
Zeek (Sebelumnya Bro)
Zeek adalah salah satu NIDS yang paling populer dan kuat. Zeek dikenal sebelumnya dengan nama Bro. Platform analisis jaringan ini didukung oleh komunitas besar ahli. Oleh karena itu, dokumentasinya sangat rinci dan baik.
OSSEC
OSSEC adalah sistem deteksi intrusi berbasis host yang kuat. Alat ini menyediakan Log-based Intrusion Detection (LIDs), Deteksi Rootkit dan Malware, Audit Kepatuhan, Pemantauan Integritas File (FIM), dan banyak kemampuan lainnya.
OSQuery
OSQuery adalah kerangka kerja yang didukung oleh banyak sistem operasi untuk melakukan analisis dan pemantauan sistem menggunakan kueri sederhana. Ini menggunakan kueri SQL.
AccessData FTK Imager
Imaging forensik adalah tugas yang sangat penting dalam forensik digital. Imaging adalah menyalin data dengan hati-hati untuk memastikan integritasnya dan tanpa meninggalkan satu file pun karena sangat kritis untuk melindungi bukti dan memastikan bahwa itu ditangani dengan baik. Itulah mengapa ada perbedaan antara penyalinan file normal dan imaging.
Imaging adalah menangkap seluruh drive. Saat mengimaging drive, analis mengimaging seluruh volume fisik termasuk master boot record. Salah satu alat yang digunakan adalah "AccessData FTK Imager".
Cuckoo
Analisis malware adalah seni menentukan fungsionalitas, asal, dan dampak potensial dari sampel malware tertentu, seperti virus, worm, trojan horse, rootkit, atau backdoor.
Sebagai analis malware, peran utama kita adalah mengumpulkan semua informasi tentang perangkat lunak berbahaya dan memiliki pemahaman yang baik tentang apa yang terjadi pada mesin yang terinfeksi. Sandbox malware yang paling dikenal adalah cuckoo.
MISP
Malware Information Sharing Platform atau MISP secara sederhana adalah platform berbagi ancaman sumber terbuka di mana analis bekerja sama dan berbagi informasi tentang ancaman terbaru di antara mereka. Proyek ini dikembangkan oleh Christophe Vandeplas dan berada di bawah lisensi GPL v3.
Ghidra
Alat reverse engineering hebat lainnya adalah Ghidra. Proyek ini sumber terbuka dan dipelihara oleh National Security Agency Research Directorate. Ghidra memberi Anda kemampuan untuk menganalisis berbagai format file. Ini mendukung Windows, Linux, dan MacOS.
Anda perlu menginstal Java untuk menjalankannya. Proyek ini dilengkapi dengan banyak pelatihan rinci, dokumentasi, dan cheat-sheet yang membantu. Selain itu, memberi Anda kemampuan untuk mengembangkan plugin sendiri menggunakan Java atau Python.
Snort
Sistem deteksi intrusi berbasis jaringan yang kuat lainnya adalah Snort. Proyek ini sangat kuat dan telah digunakan lebih dari 5 juta kali. Oleh karena itu, dokumentasinya sangat baik dan didukung oleh komunitas besar ahli keamanan jaringan.
Security Onion
Jika Anda mencari sistem operasi siap pakai yang mengandung banyak alat yang telah dibahas sebelumnya, Anda dapat mengunduh Security Onion. Ini adalah distribusi Linux gratis dan sumber terbuka untuk deteksi intrusi, pemantauan keamanan perusahaan, dan manajemen log.
Demikianlah beberapa alat Pilihan Yang Harus Dimiliki Setiap Blue Teamer. Terima kasih telah berkunjung dan semoga bermanfaat. Selamat melanjutkan aktivitas Anda kembali.
Blog ini didukung oleh pembaca. Kami dapat memperoleh komisi afiliasi ketika Anda membeli melalui tautan di situs web kami. Ikuti kami juga di Google News Publisher untuk mendapatkan notifikasi artikel terbaru. Terima kasih.