Splunk Attack Range:一款针对Splunk安全的模拟测试环境创建工具

关于Splunk Attack Range

Splunk Attack Range是一款针对Splunk安全的模拟测试环境创建工具,该工具完全开源,目前由Splunk威胁研究团队负责维护。

该工具能够帮助广大研究人员构建模拟攻击测试所用的本地或云端环境,并将数据转发至Splunk实例中。除此之外,该工具还可以用来开发和测试安全检测机制的有效性。

功能特性

Splunk Attack Range是一个检测开发平台,主要解决了检测过程中的三个主要挑战:

1、用户能够快速构建尽可能接近生产环境的小型安全实验基础设施;

2、Splunk Attack Range使用了不同的引擎(例如Atomic Red Team or Caldera)执行模拟攻击测试,以生成真实的攻击测试数据;

3、该工具支持无缝集成到任何持续集成/持续交付(CI/CD)管道中,以自动化的形式实现检测规则测试过程;

工具架构

Splunk Attack Range的部署主要由以下组件构成:

1、Windows域控制器;

2、Windows服务器;

3、Windows工作站;

4、Kali Linux设备;

5、Splunk服务器;

6、Splunk SOAR服务器;

7、Nginx服务器;

8、Linux服务器;

9、Zeek服务器;

支持收集的日志源

Windows Event Logs (index = win)

Sysmon Logs (index = win)

Powershell Logs (index = win)

Aurora EDR (index = win)

Sysmon for Linux Logs (index = unix)

Nginx logs (index = proxy)

Network Logs with Splunk Stream (index = main)

Attack Simulation Logs from Atomic Red Team and Caldera (index = attack)

工具安装

Docker使用

广大研究人员可以直接在AWS环境中执行下列命令安装和配置Splunk Attack Range:

docker pull splunk/attack_rangedocker run -it splunk/attack_rangeaws configurepython attack_range.py configure

工具运行

工具配置:

python attack_range.py configure

工具构建:

python attack_range.py build

工具封装:

python attack_range.py packer --image_name windows-2016

显示基础设施:

python attack_range.py show

结合Atomic Red Team或PurpleSharp执行攻击测试模拟:

python attack_range.py simulate -e ART -te T1003.001 -t ar-win-ar-ar-0
python attack_range.py simulate -e PurpleSharp -te T1003.001 -t ar-win-ar-ar-0

销毁工具:

python attack_range.py destroy

终止执行:

python attack_range.py stop

恢复执行:

python attack_range.py resume

从工具转储日志数据:

python attack_range.py dump --file_name attack_data/dump.log --search 'index=win' --earliest 2h

数据转储至Attack Range Splunk服务器:

python attack_range.py replay --file_name attack_data/dump.log --source test --sourcetype test

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可证协议。

项目地址

Splunk Attack Range:【GitHub传送门】

参考资料

Attack Range Docs — Attack Range 3.0.0 documentation

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/587835.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

HarmonyOS 应用开发之自定义组件成员属性访问限定符使用限制

ArkTS会对自定义组件的成员变量使用的访问限定符private/public/protected进行校验,当不按规范使用访问限定符private/public/protected时,会产生对应的日志信息。 说明: 从API version 12开始,支持自定义组件成员属性访问限定符使…

如何使用极狐GitLab 启用自动备份功能

本文作者:徐晓伟 GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。 本文主要讲述了如何极狐GitLab 自…

OpenCV 笔记(28):图像降噪算法——中值滤波、高斯滤波

1. 图像噪声 图像降噪(Image Denoising)是指从图像中去除噪声的过程,目的是提高图像质量,增强图像的视觉效果。 图像噪声是指图像中不希望出现的随机亮度或颜色变化,通常会降低图像的清晰度和可辨识度,以及会降低图像的质量并使图…

C++中发送HTTP请求的方式

一,简介 使用C编程发送HTTP请求通常需要使用第三方的HTTP库或框架。在C中,有几个受欢迎的HTTP库可供选择,例如Curl、Boost.Beast和cpp-httplib。另外,也可以自己实现socket来发送http请求 二、使用Curl库发送HTTP请求 1. 确认当…

docker搭建CI/CD环境配置过程中的常见问题

一、Jenkins 1、pull镜像问题 docker pull jenkins/jenkins:lts Using default tag: latest Trying to pull repository docker.io/library/centos ... Get https://registry-1.docker.io/v2/library/centos/manifests/latest: Get https://auth.docker.io/token?scoperepo…

【C++】哈希之位图

目录 一、位图概念二、海量数据面试题 一、位图概念 假如有40亿个无重复且没有排序的无符号整数,给一个无符号整数,如何判断这个整数是否在这40亿个数中? 我们用以前的思路有这些: 把这40亿个数遍历一遍,直到找到为…

4月2号总结

java学习 一.final关键字 final英语翻译过来的意思是“最后,最终”的意思。 在java中,final有三个作用,修饰变量、修饰类、修饰成员方法。 1.修饰变量 final修饰的变量只能被赋值一次,不能被改变。 要是强行去改变final修饰…

服务器端口被扫会发生哪些故障?

在数字化时代,服务器作为支撑各种业务运行的核心基础设施,其安全性至关重要。然而,当服务器的端口被恶意扫描时,可能会引发一系列故障,给企业和个人带来不可估量的损失。那么,服务器端口被扫会发生哪些故障…

物联网实战--入门篇之(十)安卓QT--后端开发

目录 一、项目配置 二、MQTT连接 三、数据解析 四、数据更新 五、数据发送 六、指令下发 一、项目配置 按常规新建一个Quick空项目后,我们需要对项目内容稍微改造、规划下。 首先根据我们的需要在.pro文件内添加必要的模块,其中quick就是qml了&…

vue3项目运行正常但vscode红色波浪线报错

以下解决办法如不生效,可尝试 重启 vscode 一、Vetur插件检测问题 vetur 是一个 vscode 插件,用于为 .vue 单文件组件提供代码高亮以及语法支持。但 vue 以及 vetur 对于 ts 的支持,并不友好。 1、原因 如下图:鼠标放到红色波浪…

负载均衡集群

一、集群的基本原理 集群:数据内容是一致的,集群可以被替代 分布式:各司其职,每台服务器存储自己独有的数据,对外作为单点被访问是访问整体的数据; 分布式是不能被替代的;分布式分为MFS、GFS、…

Spring Boot | Spring Boot “整合JPA“

目录 : 一、Spring Data JPA”介绍“二、Spring Data JPA”要进行的操作“ :① 编写ORM “实体类” ( 编写“数据库表”对应的“实体类” 配置“映射关系”的“注解”)② 编写 Repository 接口 ( 继承“JpaRepository接口” 其中的“操作数据库”的方法 通过“注…