降本增效！SOC运维中的开源工具

当前各个公司都有着降本增效的需求，如果你所在的安全部门预算有限，但又需要提供企业级别的安全防护，那么以下开源工具可以帮助安全团队在没有高昂成本的情况下，构建和维护有效的网络安全防御措施。通过结合这些工具，团队可以更好地检测、响应和恢复潜在的安全事件。

Incident Management Systems　应急响应管理平台

• TheHive: 开源事件响应平台，旨在使安全团队能够高效地协作和管理安全事件。TheHive Project - https://thehive-project.org/
• FIR: 安全事件响应平台，适用于SOC，CERT团队。FIR - https://github.com/certsocietegenerale/FIR

Network Security Monitoring　网络安全监控

IDS and Network Metadata　IDS及网络流量分析

• Suricata: 一款入侵检测系统，能够实时进行入侵检测、网络安全监控和PCAP日志记录。Suricata - https://suricata.io/
• EVEbox: 基于web的告警分类工具，简化了Suricata警报的分析和管理。EVEbox - https://evebox.org/
• Snort: 一款广泛使用的开源网络入侵检测和防御系统，能够实时分析网络流量。Snort - https://www.snort.org/
• Zeek: 强大的网络分析框架，专注于安全监控和网络流量分析。Zeek - https://zeek.org/

Full Packet Capture　全量抓包工具

• Moloch: 一款开源的大规模数据包捕获和索引系统，旨在简化网络流量的搜索和分析。Moloch - https://github.com/fortheswarm/moloch
• Google Stenographer: 一款捕获网络数据包的工具，侧重于性能和资源消耗的最小化。Google Stenographer - https://github.com/google/stenographer
• Netsniff-ng: 一款高性能的数据包处理框架，允许对网络流量进行深度检查和分析。Netsniff-ng - https://netsniff-ng.org/

Linux Distribution Linux版本的监控方案

• Security Onion: 一款免费的开源Linux发行版，用于入侵检测、网络安全监控和日志管理。Security Onion - https://securityonion.net/
• RockNSM: 一款专注于提供强大且可定制的网络安全监控解决方案的Linux发行版。RockNSM - https://rocknsm.io/

Endpoint Monitoring / HIDS 终端监控

• NXLog Community Edition: 一款多功能日志代理，能够从各种来源收集和转发日志以进行集中管理。NXLog - https://nxlog.co/products/nxlog-community-edition
• OSQuery: 一款开源工具，允许用户使用类似SQL的语法查询其端点数据以进行系统监控。OSQuery - https://osquery.io/
• OSSEC: 一款主机入侵检测系统（HIDS），提供日志分析、文件完整性检查和实时警报功能。OSSEC - https://www.ossec.net/
• Sysmon: 一款Windows系统服务，记录系统活动并提供有关进程创建、网络连接和文件更改的详细信息。Sysmon - https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
• Wazuh: 一款开源HIDS，增强了OSSEC，提供额外的安全监控、合规性和事件响应功能。Wazuh - https://wazuh.com/

Incident Response 应急响应

• Kansa: 一款开源事件响应工具，帮助在调查过程中收集和分析端点数据。Kansa - https://github.com/davehull/Kansa
• Velociraptor: 一款多功能端点监控和响应工具，能够实时收集数据并提供事件响应能力。Velociraptor - https://velociraptor.app/

Malware Sandbox and Malware Analysis 恶意软件调查及分析

• Cuckoo Sandbox: 一款自动化的恶意软件分析系统，允许用户在安全环境中运行可疑文件并观察其行为。Cuckoo Sandbox - https://cuckoosandbox.org/
• REMnux: 一款专为恶意软件分析设计的Linux发行版，内置多种工具和实用程序用于分析恶意软件。REMnux - https://remnux.org/

Threat Intelligence Platforms 威胁情报平台

• MISP: 一个开源威胁情报平台，促进组织间结构化威胁信息的共享。MISP - https://www.misp-project.org/
• OpenCTI: 一个旨在管理和分析威胁情报数据的平台，允许组织收集、共享和可视化其威胁情报。OpenCTI - https://www.opencti.io/

Purple Team Testing and Reporting 紫队测试与报告

• Vectr: 一个免费的开源工具，使红队和蓝队能够在共享环境中协作并记录他们的工作。Vectr提供了跟踪和报告攻击模拟的功能。Vectr - https://docs.vectr.io/

SIEM Solutions SIEM 解决方案

• ELK Stack (Elasticsearch, Logstash, Kibana): 一组强大的工具，用于实时搜索、分析和可视化日志数据。ELK通常用于集中管理日志和监控安全事件。ELK Stack - https://www.elastic.co/what-is/elk-stack
• Graylog: 一个开源日志管理平台，允许用户从各种来源收集、索引和分析日志数据。它提供了一个用于搜索和可视化日志的页面。Graylog - https://www.graylog.org/

Vulnerability Assessment 漏洞评估

• OpenVAS: 一个免费的开源漏洞扫描器，帮助组织识别其系统和应用中的安全漏洞。OpenVAS - https://www.openvas.org/
• Nikto: 一个Web服务器扫描器，对Web服务器进行全面测试，包括危险文件、过时的服务器软件和其他漏洞。Nikto - https://cirt.net/Nikto2

其他资源

• Open Source Security Foundation - https://openssf.org/
• Cybersecurity and Infrastructure Security Agency (CISA) - https://www.cisa.gov/
• National Institute of Standards and Technology (NIST) - https://www.nist.gov/