Splunk Attack Range:一款针对Splunk安全的模拟测试环境创建工具

2024-04-02 1,005 0

关于Splunk Attack Range

Splunk Attack Range是一款针对Splunk安全的模拟测试环境创建工具,该工具完全开源,目前由Splunk威胁研究团队负责维护。

该工具能够帮助广大研究人员构建模拟攻击测试所用的本地或云端环境,并将数据转发至Splunk实例中。除此之外,该工具还可以用来开发和测试安全检测机制的有效性。

功能特性

Splunk Attack Range是一个检测开发平台,主要解决了检测过程中的三个主要挑战:

1、用户能够快速构建尽可能接近生产环境的小型安全实验基础设施;

2、Splunk Attack Range使用了不同的引擎(例如Atomic Red Team or Caldera)执行模拟攻击测试,以生成真实的攻击测试数据;

3、该工具支持无缝集成到任何持续集成/持续交付(CI/CD)管道中,以自动化的形式实现检测规则测试过程;

工具架构

Splunk Attack Range的部署主要由以下组件构成:

1、Windows域控制器;

2、Windows服务器;

3、Windows工作站;

4、Kali Linux设备;

5、Splunk服务器;

6、Splunk SOAR服务器;

7、Nginx服务器;

8、Linux服务器;

9、Zeek服务器;

支持收集的日志源

Windows Event Logs (index = win)

Sysmon Logs (index = win)

Powershell Logs (index = win)

Aurora EDR (index = win)

Sysmon for Linux Logs (index = unix)

Nginx logs (index = proxy)

Network Logs with Splunk Stream (index = main)

Attack Simulation Logs from Atomic Red Team and Caldera (index = attack)

工具安装

Docker使用

广大研究人员可以直接在AWS环境中执行下列命令安装和配置Splunk Attack Range:

docker pull splunk/attack_range

docker run -it splunk/attack_range

aws configure

python attack_range.py configure

工具运行

工具配置:

python attack_range.py configure

工具构建:

python attack_range.py build

工具封装:

python attack_range.py packer --image_name windows-2016

显示基础设施:

python attack_range.py show

结合Atomic Red Team或PurpleSharp执行攻击测试模拟:

python attack_range.py simulate -e ART -te T1003.001 -t ar-win-ar-ar-0
python attack_range.py simulate -e PurpleSharp -te T1003.001 -t ar-win-ar-ar-0

销毁工具:

python attack_range.py destroy

终止执行:

python attack_range.py stop

恢复执行:

python attack_range.py resume

从工具转储日志数据:

python attack_range.py dump --file_name attack_data/dump.log --search 'index=win' --earliest 2h

数据转储至Attack Range Splunk服务器:

python attack_range.py replay --file_name attack_data/dump.log --source test --sourcetype test

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可证协议。

项目地址

Splunk Attack Range:【GitHub传送门

参考资料

https://attack-range.readthedocs.io/en/latest/

相关文章:

  1. centos7安装Java1.8与maven3.9.6
  2. RansomwareSim:一款功能强大的勒索软件模拟研究学习工具
  3. PurpleKeep:提供Azure管道以创建基础设施并执行Atomic测试
  4. Atlassian Confluence SSTI RCE(CVE-2023-22527)详细漏洞分…
  5. 2024年AI将如何影响网络安全?听听6位顶尖技术公司CEO怎么说

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评
漏洞分析
0 0

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论