降本增效！SOC运维中的开源工具

当前各个公司都有着降本增效的需求，如果你所在的安全部门预算有限，但又需要提供企业级别的安全防护，那么以下开源工具可以帮助安全团队在没有高昂成本的情况下，构建和维护有效的网络安全防御措施。通过结合这些工具，团队可以更好地检测、响应和恢复潜在的安全事件。

Incident Management Systems　应急响应管理平台

• TheHive : 开源事件响应平台，旨在使安全团队能够高效地协作和管理安全事件。TheHive Project - https://thehive-project.org/
• FIR : 安全事件响应平台，适用于SOC，CERT团队。FIR - https://github.com/certsocietegenerale/FIR

Network Security Monitoring　网络安全监控

IDS and Network Metadata　IDS及网络流量分析

• Suricata : 一款入侵检测系统，能够实时进行入侵检测、网络安全监控和PCAP日志记录。Suricata - https://suricata.io/
• EVEbox : 基于web的告警分类工具，简化了Suricata警报的分析和管理。EVEbox - https://evebox.org/
• Snort : 一款广泛使用的开源网络入侵检测和防御系统，能够实时分析网络流量。Snort - https://www.snort.org/
• Zeek : 强大的网络分析框架，专注于安全监控和网络流量分析。Zeek - https://zeek.org/

Full Packet Capture　全量抓包工具

• Moloch : 一款开源的大规模数据包捕获和索引系统，旨在简化网络流量的搜索和分析。Moloch - https://github.com/fortheswarm/moloch
• Google Stenographer : 一款捕获网络数据包的工具，侧重于性能和资源消耗的最小化。Google Stenographer - https://github.com/google/stenographer
• Netsniff-ng : 一款高性能的数据包处理框架，允许对网络流量进行深度检查和分析。Netsniff-ng - https://netsniff-ng.org/

Linux Distribution Linux版本的监控方案

• Security Onion : 一款免费的开源Linux发行版，用于入侵检测、网络安全监控和日志管理。Security Onion - https://securityonion.net/
• RockNSM : 一款专注于提供强大且可定制的网络安全监控解决方案的Linux发行版。RockNSM - https://rocknsm.io/

Endpoint Monitoring / HIDS 终端监控

• NXLog Community Edition : 一款多功能日志代理，能够从各种来源收集和转发日志以进行集中管理。NXLog - https://nxlog.co/products/nxlog-community-edition
• OSQuery : 一款开源工具，允许用户使用类似SQL的语法查询其端点数据以进行系统监控。OSQuery - https://osquery.io/
• OSSEC : 一款主机入侵检测系统（HIDS），提供日志分析、文件完整性检查和实时警报功能。OSSEC - https://www.ossec.net/
• Sysmon : 一款Windows系统服务，记录系统活动并提供有关进程创建、网络连接和文件更改的详细信息。Sysmon - https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
• Wazuh : 一款开源HIDS，增强了OSSEC，提供额外的安全监控、合规性和事件响应功能。Wazuh - https://wazuh.com/

Incident Response 应急响应

• Kansa : 一款开源事件响应工具，帮助在调查过程中收集和分析端点数据。Kansa - https://github.com/davehull/Kansa
• Velociraptor : 一款多功能端点监控和响应工具，能够实时收集数据并提供事件响应能力。Velociraptor - https://velociraptor.app/

Malware Sandbox and Malware Analysis 恶意软件调查及分析

• Cuckoo Sandbox : 一款自动化的恶意软件分析系统，允许用户在安全环境中运行可疑文件并观察其行为。Cuckoo Sandbox - https://cuckoosandbox.org/
• REMnux : 一款专为恶意软件分析设计的Linux发行版，内置多种工具和实用程序用于分析恶意软件。REMnux - https://remnux.org/

Threat Intelligence Platforms 威胁情报平台

• MISP : 一个开源威胁情报平台，促进组织间结构化威胁信息的共享。MISP - https://www.misp-project.org/
• OpenCTI : 一个旨在管理和分析威胁情报数据的平台，允许组织收集、共享和可视化其威胁情报。OpenCTI - https://www.opencti.io/

Purple Team Testing and Reporting 紫队测试与报告

• Vectr : 一个免费的开源工具，使红队和蓝队能够在共享环境中协作并记录他们的工作。Vectr提供了跟踪和报告攻击模拟的功能。Vectr - https://docs.vectr.io/