作者：Joas Antonio|红队队长|进攻性安全研究|极客|网络导师|

Sooty是一款帮助SOC分析师自动化部分工作流程的工具。Sooty的目标之一是执行尽可能多的常规检查，让分析师有更多的时间在相同的时间框架内进行更深入的分析。关于Sooty的许多功能的细节可以在下面找到。https://github.com/TheresAFewConors/Sooty

Peepdfpeepdf是一个Python工具，用于查看PDF文件，以确定该文件是否有害。这个工具的目的是提供安全研究员在PDF分析中可能需要的所有必要组件，而不需要使用3或4个工具来完成所有任务。使用peepdf可以看到文档中显示可疑元素的所有对象，支持最常用的过滤器和编码，它可以解析不同版本的文件、对象流和加密文件。随着PyV8和Pylibemu的安装，它还提供了Javascript和shell代码分析包装器。除此之外，它还可以创建新的PDF文件，修改现有的文件，并将其模糊化。

•https://eternal-todo.com/tools/peepdf-pdfanalysis-tool

PyREBoxPyREBox是一个Python可脚本化的反向工程沙箱。它基于QEMU，其目标是从不同的角度提供动态分析和调试功能，从而帮助逆向工程。PyREBox允许检查正在运行的QEMU VM，修改它的内存或寄存器，并通过在Python中创建简单的脚本来自动化任何类型的分析来检测它的执行。它还提供了一个基于IPython的shell，该shell公开了一组丰富的命令，以及一个Python API。

https://talosintelligence.com/pyrebox

Fail2ban扫描日志文件(例如/var/log/apache/error_log)，并禁止显示恶意信号的ip——太多的密码失败，寻找漏洞，等等。通常，Fail2Ban会用来更新防火墙规则，在指定的时间内拒绝IP地址，当然也可以配置其他任意的操作(例如发送电子邮件)。开箱即用的Fail2Ban提供各种服务的过滤器(apache，快递，ssh等)。Fail2Ban能够减少错误的身份验证尝试，但是它不能消除弱身份验证带来的风险。如果您确实希望保护服务，请将服务配置为只使用两个因素或公共/私有身份验证机制。https://www.fail2ban.org/wiki/index.php/Main_Page

OSSEC是一个监视和控制系统的完整平台。它将HIDS(基于主机的入侵检测)、日志监控和SIM/SIEM的所有方面混合在一起，形成了一个简单、强大的开源解决方案。

https://github.com/ossec/ossec-hids

https://www.ossec.net/

一个免费的，强大的，多用途的工具，可以帮助您监控系统资源，调试软件和检测恶意软件。

https://processhacker.sourceforge.io/downloads.php

Splunk的软件帮助在一个可搜索的存储库中捕获、索引和关联实时数据，从中它可以生成图形、报告、警报、仪表板和可视化。Splunk使用机器数据来识别数据模式、提供指标、诊断问题并为业务操作提供智能。Splunk是一种用于应用程序管理、安全性和合规性，以及商业和web分析的水平技术。

https://www.splunk.com/

Wazuh是一个免费的、开源的、企业级的安全监控解决方案，用于威胁检测、完整性监控、事件响应和遵从性。

https://wazuh.com/

TheHive

一个可扩展、开源和免费的安全事件响应平台，与MISP(恶意软件信息共享平台)紧密集成，旨在使soc、CSIRTS、CERTs和任何信息安全从业者在处理需要调查和迅速采取行动的安全事件时更加轻松。

https://thehive-project.org/

Security Onion产品包括Security Onion软件和专门的硬件设备，它们是为了运行Security Onion而构建和测试的。我们的设备将节省您和您的团队的时间和资源，让您专注于保持您的组织安全。

https://securityonionsolutions.com/

原文PDF及机器翻译文档已上传知识星球

长按识别下面的二维码可加入星球

里面已有四千余篇资料可供下载

越早加入越便宜

续费五折优惠