Herramientas Opensource para diversas actividades

Estimados, como primer aporte en esta comunidad les adjunto un gran número de herramientas opensource que les ayudaran en sus tareas, saludos.

Herramientas de respuesta de incidentes
https://belkasoft.com/ec : el kit de herramientas extraerá rápidamente pruebas digitales de múltiples fuentes analizando discos duros, imágenes de unidades, volcados de memoria, iOS, copias de seguridad de Blackberry y Android, UFED, JTAG y volcados de chips.
https://github.com/PowerShellMafia/CimSweep - CimSweep es un conjunto de herramientas basadas en CIM / WMI que permiten la capacidad de realizar operaciones de respuesta y búsqueda de incidentes de forma remota en todas las versiones de Windows.
https://github.com/byt3smith/CIRTKit - CIRTKit no es solo una colección de herramientas, sino también un marco para ayudar en la unificación en curso de los procesos de investigación de respuesta a incidentes y análisis forense
http://www.cybertriage.com/ : Cyber Triage recopila y analiza remotamente datos de punto final para ayudar a determinar si están comprometidos. Es un enfoque sin agentes y se centra en la facilidad de uso y la automatización permite a las empresas responder sin grandes cambios de infraestructura y sin un equipo de expertos forenses. Sus resultados se utilizan para decidir si el sistema debe borrarse o investigarse más.
http://www.arxsys.fr/discover/ - DFF es una plataforma forense informática de código abierto construida sobre una interfaz de programación de aplicaciones (API) dedicada. DFF propone una alternativa a las envejecidas soluciones forenses digitales que se utilizan hoy en día. Diseñada para uso simple y automatización, la interfaz DFF guía al usuario a través de los principales pasos de una investigación digital para que pueda ser utilizada por profesionales y no expertos para realizar de manera rápida y sencilla una investigación digital y realizar una respuesta a incidentes.
https://github.com/mwielgoszewski/doorman - Doorman es un administrador de flotas osquery que permite la administración remota de configuraciones de osquery recuperadas por nodos. Aprovecha la configuración de TLS de osquery, el registrador y los puntos finales de lectura / escritura distribuidos, para brindarles a los administradores la visibilidad a través de una flota de dispositivos con una mínima carga e intrusión.
https://github.com/mephux/envdb - Envdb convierte sus entornos de producción, desarrollo, nube, etc. en un clúster de base de datos que puede buscar utilizando osquery como base. Envuelve el proceso de osquery con un agente de nodo (clúster) que puede comunicarse de vuelta a una ubicación central
https://github.com/CrowdStrike/falcon-orchestrator - Falcon Orchestrator de CrowdStrike es una aplicación extensible basada en Windows que proporciona automatización del flujo de trabajo, administración de casos y funcionalidad de respuesta de seguridad.
https://github.com/google/grr - GRR Rapid Response es un marco de respuesta a incidentes centrado en forense en vivo a distancia . Consiste en un agente python (cliente) que está instalado en los sistemas de destino, y una infraestructura de servidor python que puede administrar y hablar con el agente

Comentarios

  • https://kolide.com/fleet - Kolide Fleet es una plataforma de monitoreo de host de vanguardia diseñada para expertos en seguridad. Aprovechando el proyecto de osquery probado en batalla de Facebook, Kolide ofrece respuestas rápidas a grandes preguntas.
    https://github.com/refractionpoint/limacharlie : una plataforma de seguridad de punto final. Es en sí misma una colección de pequeños proyectos que trabajan en conjunto, y le ofrece un entorno de bajo nivel multiplataforma (Windows, OSX, Linux, Android e iOS) que le permite administrar e insertar módulos adicionales en la memoria para ampliar su funcionalidad
    http://mig.mozilla.org/ - Mozilla Investigator (MIG) es una plataforma para realizar operaciones de investigación en puntos finales remotos. Permite a los investigadores obtener información de un gran número de sistemas en paralelo, acelerando así la investigación de incidentes y la seguridad de las operaciones cotidianas
    https://github.com/mozilla/MozDef : la plataforma de defensa de Mozilla (MozDef) busca automatizar el proceso de manejo de incidentes de seguridad y facilitar las actividades en tiempo real de los manejadores de incidentes.
    https://github.com/biggiesmallsAG/nightHawkResponse - the nightHawk Response Platform es una aplicación creada para la presentación asíncrona de datos forenses utilizando ElasticSearch como back-end. Está diseñado para ingerir colecciones de Redline.
    http://sourceforge.net/projects/ocfa/ - Open Computer Forensics Architecture (OCFA) es otro popular sistema informático forense de código abierto distribuido. Este marco se construyó en la plataforma Linux y usa la base de datos postgreSQL para almacenar datos
    https://osquery.io/ : con osquery, puede hacer preguntas fácilmente sobre su infraestructura Linux y OSX. Ya sea que su objetivo sea la detección de intrusiones, la confiabilidad de la infraestructura o el cumplimiento, osquery le brinda la capacidad de potenciar e informar a un amplio conjunto de organizaciones dentro de su empresa. Las consultas en el paquete de respuesta a incidentes lo ayudan a detectar y responder a las infracciones
    https://www.fireeye.com/services/freeware/redline.html : proporciona capacidades de investigación de host a los usuarios para encontrar signos de actividad maliciosa a través del análisis de memoria y archivos, y el desarrollo de un perfil de evaluación de amenazas
    http://www.sleuthkit.org/ - The Sleuth Kit es una herramienta basada en Unix y Windows que ayuda en el análisis forense de computadoras. Viene con varias herramientas que ayudan en el análisis forense digital. Estas herramientas ayudan a analizar imágenes de disco, realizar análisis en profundidad de sistemas de archivos y varias otras cosas
    https://thehive-project.org/ - TheHive es una solución escalable 3 en 1 de código abierto y gratuita diseñada para facilitar la vida de SOC, CSIRT, CERT y cualquier profesional de la seguridad de la información que se ocupe de incidentes de seguridad que deben ser investigados y adoptados rápidamente.
    http://www.x-ways.net/forensics/ : X-Ways es una herramienta forense para clonación de discos e imágenes. Se puede usar para encontrar archivos eliminados y análisis de disco
    https://github.com/zentralopensource/zentral : combina las potentes funciones de inventario de punto final de osquery con un marco flexible de notificación y acción. Esto permite identificar y reaccionar a los cambios en los clientes de OS X y Linux.

    Libros
    https://medium.com/@sroberts/introduction-to-dfir-d35d5de4c180/ - Por Scott J. Roberts
    http://www.amazon.com/gp/product/1593275099 - El libro de Richard Bejtlich sobre IR
    Comunidades
    https://augmentd.co/ : sitio impulsado por la comunidad que proporciona una lista de búsquedas que pueden implementarse y ejecutarse con una variedad de herramientas de seguridad comunes.
    https://lists.sans.org/mailman/listinfo/dfir - Lista de correo de SANS para DFIR
    https://dfircommunity.slack.com/ - Slack canal de la comunidad DFIR
    https://rishi28.typeform.com/to/sTbTI8

  • Herramientas de creación de imagen de disco
    http://accessdata.com/product-download/?/support/adownloads - AccessData FTK Imager es una herramienta forense cuyo objetivo principal es previsualizar los datos recuperables de un disco de cualquier tipo. FTK Imager también puede adquirir memoria activa y archivo de paginación en sistemas de 32 bits y 64 bits
    https://github.com/vitaly-kamluk/bitscout - Bitscout de Vitaly Kamluk te ayuda a construir tu imagen LiveCD / LiveUSB personalizable y totalmente confiable para usar en análisis forense digitales remotos (o quizás en cualquier otra tarea de tu elección). Está destinado a ser transparente y monitorable por el propietario del sistema, sonido forense, personalizable y compacto.
    http://www.forensicimager.com/ GetData Forensic Imager es un programa basado en Windows que adquirirá, convertirá o verificará una imagen forense en uno de los siguientes formatos comunes de archivos forenses.
    http://guymager.sourceforge.net/ - Guymager es un generador de imágenes forense gratuito para la adquisición de medios en Linux
    https://www.magnetforensics.com/magnet-acquire/ - ACQUIRE de Magnet Forensics permite que se lleven a cabo varios tipos de adquisiciones de disco en Windows, Linux y OS X, así como en sistemas operativos móviles.
    Colección de evidencia
    https://github.com/simsong/bulk_extractor - bulk_extractor es una herramienta informática forense que escanea una imagen de disco, un archivo o un directorio de archivos y extrae información útil sin analizar el sistema de archivos ni las estructuras del sistema de archivos. Debido a ignorar la estructura del sistema de archivos, el programa se distingue en términos de velocidad y minuciosidad
    https://github.com/rough007/CDQR : utiliza una lista simplificada de analizadores para analizar rápidamente un archivo de imagen forenisic (dd, E01, .vmdk, etc.) y generar nueve informes
    https://github.com/diogo-fernan/ir-rescue : ir-rescue es una secuencia de comandos de Windows Batch y una secuencia de comandos de Unix Bash para recopilar de manera exhaustiva datos forenses de host durante la respuesta al incidente.
    https://www.brimorlabs.com/tools/ Live Response: la colección Live Response de BriMor Labs es una herramienta automatizada que recopila datos volátiles de Windows, OSX y sistemas operativos basados en * nix.
    Administracion de incidentes
    https://www.cyphon.io/ - Cyphon elimina los dolores de cabeza de la administración de incidentes mediante la racionalización de una multitud de tareas relacionadas a través de una sola plataforma. Recibe, procesa y clasifica eventos para proporcionar una solución integral para su flujo de trabajo analítico: agregar datos, agrupar y priorizar alertas y facultar a los analistas para investigar y documentar incidentes.
    https://www.demisto.com/product/ - Demisto Community Edition (gratuito) ofrece gestión completa del ciclo de vida de incidentes, informes de cierre de incidentes, asignaciones de equipos y colaboración, y muchas integraciones para mejorar las automatizaciones (como Active Directory, PagerDuty, Jira y mucho más ...)
    https://github.com/certsocietegenerale/FIR/ - Fast Incident Response (FIR) es una plataforma de gestión de incidentes de ciberseguridad diseñada con agilidad y velocidad en mente. Permite crear, rastrear e informar fácilmente incidentes de ciberseguridad y es útil para CSIRT, CERT y SOC por igual

  • https://www.bestpractical.com/rtir/ - Rastreador de solicitudes de respuesta a incidentes (RTIR) es el principal sistema de manejo de incidentes de código abierto dirigido para equipos de seguridad informática. Trabajamos con más de una docena de equipos CERT y CSIRT en todo el mundo para ayudarlo a manejar el volumen cada vez mayor de informes de incidentes. RTIR se basa en todas las características de Request Tracker
    http://getscot.sandia.gov/ : Sandia Cyber Omni Tracker (SCOT) es una herramienta de colaboración y captura de conocimiento basada en Incidentes que se centra en la flexibilidad y la facilidad de uso. Nuestro objetivo es agregar valor al proceso de respuesta al incidente sin cargar al usuario
    https://github.com/defpoint/threat_note - Un cuaderno de investigación ligero que permite a los investigadores de seguridad la capacidad de registrar y recuperar indicadores relacionados con su investigación
    Distribuciones de Linux
    https://forensics.cert.org/ - El dispositivo para investigación y análisis digital (ADIA) es un dispositivo basado en VMware que se utiliza para la investigación y adquisición digital y está construido completamente a partir de software de dominio público. Entre las herramientas contenidas en ADIA se encuentran Autopsy, Sleuth Kit, Digital Forensics Framework, log2timeline, Xplico y Wireshark. La mayor parte del mantenimiento del sistema usa Webmin. Está diseñado para pequeñas y medianas investigaciones digitales y adquisiciones. El dispositivo se ejecuta bajo Linux, Windows y Mac OS. Ambas versiones i386 (32 bits) y x86_64 (64 bits) están disponibles.
    http://www.caine-live.net/index.html - El entorno de investigación asistido por computadora (CAINE) contiene numerosas herramientas que ayudan a los investigadores durante su análisis, incluida la recopilación de evidencia forense
    https://github.com/rough007/CCF-VM - Máquina virtual forense CyLR CDQR (CCF-VM): una solución todo en uno para analizar los datos recopilados, lo que hace que sea fácilmente investigable con las búsquedas comunes incorporadas, permite la búsqueda simultánea de hosts únicos y múltiples.
    http://www.deftlinux.net/ - El Digital Evidence & Forensics Toolkit (DEFT) es una distribución de Linux creada para la recolección de pruebas forenses informáticas. Viene incluido con el kit de herramientas de respuesta avanzada digital (DART) para Windows. También está disponible una versión ligera de DEFT, llamada DEFT Zero, que se centra principalmente en la recolección de evidencia forensemente sólida
    https://sourceforge.net/projects/nst/files/latest/download?source=files - Distribución de Linux que incluye una amplia colección de las mejores aplicaciones de seguridad de red de código abierto útiles para el profesional de la seguridad de la red
    https://sumuri.com/software/paladin/ - PALADIN es una distribución de Linux modificada para realizar varias tareas forenicas de manera forense. Viene con muchas herramientas forenses de código abierto incluidas

  • https://github.com/Security-Onion-Solutions/security-onion - Security Onion es una distribución especial de Linux destinada a la supervisión de la seguridad de la red con herramientas de análisis avanzadas
    http://digital-forensics.sans.org/community/downloads (SANS) demuestra que las capacidades avanzadas de respuesta a incidentes y las técnicas forenses digitales de inmersión profunda en intrusiones pueden lograrse utilizando herramientas de código abierto de última generación que están disponibles libremente y se actualizan con frecuencia.
    Colección de evidencia de Linux
    https://github.com/SekoiaLab/Fastir_Collector_Linux - FastIR para Linux recopila diferentes artefactos en Linux en vivo y registra los resultados en archivos csv
    Herramientas de análisis de registro
    https://github.com/jensvoid/lorg : una herramienta para análisis avanzados de seguridad de archivos de registro HTTPD y análisis forense
    Herramientas de análisis de memoria
    https://github.com/JamesHabben/evolve interfaz web para el marco forense de memoria de volatilidad
    https://github.com/ShaneK2/inVtero.net Análisis de memoria avanzado para Windows x64 con soporte de hipervisor anidado
    http://www.gmgsystemsinc.com/knttools/ Herramientas de análisis de memoria de computadora
    https://github.com/504ensicsLabs/LiME LiME (anteriormente DMD) es un Módulo de kernel cargable (LKM), que permite la adquisición de memoria volátil desde dispositivos basados en Linux y Linux.
    https://www.fireeye.com/services/freeware/memoryze.html Memoryze by Mandiant es un software de memoria forense gratuito que ayuda al personal de respuesta a incidentes a encontrar el mal en la memoria en vivo.
    https://www.fireeye.com/services/freeware/memoryze-for-the-mac.html Memoryze para Mac es Memoryze pero luego para Mac
    http://www.rekall-forensic.com/ Herramienta de código abierto (y biblioteca) para la extracción de artefactos digitales de muestras de memoria volátil (RAM)
    http://www.countertack.com/responder-pro Responder PRO es la solución de análisis de malware físico automático y memoria física estándar de la industria
    https://github.com/volatilityfoundation/volatility un marco forense de memoria avanzada
    https://github.com/mkorman90/VolatilityBot VolatilityBot es una herramienta de automatización para investigadores que elimina todas las conjeturas y tareas manuales de la fase de extracción binaria, o para ayudar al investigador en los primeros pasos de la realización de una investigación de análisis de memoria
    https://github.com/aim4r/VolDiff Análisis de la huella de memoria de malware basado en la volatilidad

  • http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart otra herramienta forense de memoria e ingeniería inversa utilizada para analizar la memoria volátil. Básicamente se utiliza para la ingeniería inversa de malwares. Proporciona la capacidad de analizar el núcleo de Windows, controladores, DLL, memoria virtual y física
    Herramientas de imágenes de memoria
    http://belkasoft.com/ram-capturer una pequeña herramienta forense gratuita para extraer todo el contenido de la memoria volátil de la computadora, incluso si está protegido por un sistema activo anti-depuración o anti-dumping
    • Linux Memory Grabber :
    https://github.com/halpomeranz/lmg/ secuencia de comandos para volcar la memoria de Linux y crear perfiles de Volatility.
    https://www.magnetforensics.com/free-tool-magnet-ram-capture/ Magnet RAM Capture es una herramienta gratuita de imágenes diseñada para capturar la memoria física de la computadora de un sospechoso. Admite versiones recientes de Windows
    http://www.osforensics.com/ OSForensics puede adquirir memoria en vivo en sistemas de 32 bits y 64 bits. Se puede realizar un vuelco del espacio de memoria de un proceso individual o el volcado de memoria física

    Colección de Evidencia de OSX
    https://github.com/synack/knockknock muestra elementos persistentes (scripts, comandos, binarios, etc.) que se configuran para ejecutarse automáticamente en OSX
    https://github.com/ydkhatri/mac_apt macOS Artifact Parsing Tool
    https://github.com/jipegit/OSXAuditor macOS Artifact Parsing Tool - Marco forense basado en complementos para una clasificación rápida de mac que funciona en máquinas en vivo, imágenes de disco o archivos de artefactos individuales
    https://github.com/yelp/osxcollector una rama de OSX Auditor para respuesta en vivo
    Otras listas
    https://github.com/deralexxx/security-apis Lista de varias API de seguridad : una lista colectiva de API públicas de JSON para su uso en seguridad.
    Otras herramientas
    https://thehive-project.org/ · Cortex - Cortex le permite analizar observables como direcciones IP y de correo electrónico, URL, nombres de dominio, archivos o hash uno por uno o en modo masivo utilizando una interfaz web. Los analistas también pueden automatizar estas operaciones utilizando su API REST.
    https://crits.github.io/ · Crits : una herramienta basada en la web que combina un motor analítico con una base de datos de amenazas cibernéticas
    https://github.com/diogo-fernan/domfind · domfind - domfind es un rastreador de Python DNS para encontrar nombres de dominio idénticos bajo diferentes TLD.
    https://github.com/TryCatchHCF/DumpsterFire · DumpsterFire - El juego de herramientas DumpsterFire es una herramienta modular, impulsada por menú y multiplataforma para construir eventos de seguridad distribuidos, retardados y distribuidos. Cree fácilmente cadenas de eventos personalizadas para simulacros de Blue Team y mapeo de sensores / alertas. Los Equipos Rojos pueden crear incidentes señuelos, distracciones y señuelos para apoyar y escalar sus operaciones.
    https://github.com/Neo23x0/Fenrir · Fenrir - Fenrir es un escáner IOC simple. Permite escanear cualquier sistema Linux / Unix / OSX para IOC en plain bash. Creado por los creadores de THOR y LOKI
    https://github.com/keithjjones/fileintel · Fileintel - Inteligencia de extracción por hash de archivo
    https://github.com/Cyb3rWard0g/HELK · HELK - Plataforma de caza de amenazas
    https://github.com/obsidianforensics/hindsight · Retrospectiva : análisis forense de la historia de Internet para Google Chrome / Chromium
    https://github.com/keithjjones/hostintel · Hostintel : extracción de inteligencia por host
    https://github.com/ralphje/imagemounter · imagemounter - Utilidad de línea de comando y paquete de Python para facilitar el (des) montaje de imágenes de disco forense
    https://github.com/davehull/Kansa/ · Kansa - Kansa es un marco modular de respuesta a incidentes en Powershell
    https://github.com/aboutsecurity/rastrea2r · rastrea2r - permite escanear discos y memoria para IOC usando YARA en Windows, Linux y OS X
    https://raqet.github.io/ · RaQet - RaQet es una herramienta de trituración y adquisición remota no convencional que permite clasificar un disco de una computadora remota (cliente) que se reinicia con un sistema operativo forense creado a propósito.
    https://www.percona.com/doc/percona-toolkit/2.2/pt-stalk.html · Stalk - Recolecta datos forenses sobre MySQL cuando ocurren problemas
    https://github.com/jadacyrus/searchgiant_cli · SearchGiant : una utilidad de línea de comandos para adquirir datos forenses de servicios en la nube

  • https://github.com/google/stenographer · Stenographer - Stenographer es una solución de captura de paquetes que pretende enrutar rápidamente todos los paquetes al disco, y luego proporcionar un acceso simple y rápido a los subconjuntos de esos paquetes. Almacena la mayor cantidad posible de historia, administra el uso del disco y elimina cuando se alcanzan los límites del disco. Es ideal para capturar el tráfico justo antes y durante un incidente, sin la necesidad explícita de almacenar todo el tráfico de la red
    https://github.com/0x4d31/sqhunter · sqhunter - un cazador de amenazas basado en osquery y Salt Open (SaltStack) que puede emitir consultas ad-hoc o distribuidas sin la necesidad del plugin tls de osquery. sqhunter le permite consultar los sockets de red abiertos y verificarlos contra las fuentes de inteligencia de amenazas.
    https://github.com/CIRCL/traceroute-circl · traceroute-circl - traceroute-circl es un traceroute extendido para soportar las actividades de los operadores CSIRT (o CERT). Por lo general, el equipo de CSIRT tiene que manejar los incidentes en función de las direcciones IP recibidas. Creado por Computer Emergency Responce Centre Luxembourg
    https://www.raymond.cc/blog/xray/ · X-Ray 2.0 : una utilidad de Windows (mal mantenida o que ya no se mantiene) para enviar muestras de virus a proveedores de antivirus
    Playbooks
    https://www.demisto.com/category/playbooks/ · Demisto Playbooks Collection - Colección de libros de jugadas
    https://github.com/certsocietegenerale/IRM · IRM - Metodologías de respuesta a incidentes por CERT Societe Generale
    https://www.incidentresponse.com/playbooks/ · IR Workflow Gallery - Diferentes flujos de trabajo genéricos de respuesta a incidentes, por ejemplo, para un brote de malware, robo de datos, acceso no autorizado, ... Cada flujo de trabajo consta de siete pasos: preparar, detectar, analizar, contener, erradicar, recuperar, manejo posterior al incidente. Los flujos de trabajo están disponibles en línea o para descargar
    https://response.pagerduty.com/ · Documentación de respuesta a incidentes de PagerDuty : documentos que describen partes del proceso de respuesta a incidentes de PagerDuty. Proporciona información no solo sobre cómo prepararse para un incidente, sino también sobre qué hacer durante y después. La fuente está disponible en GitHub .
    Herramientas de descarga de procesos
    http://www.microsoft.com/en-us/download/details.aspx?id=4060 · Descargador de procesos del modo de usuario de Microsoft - El volcador de procesos del modo de usuario (volcado de usuario) vuelca cualquier imagen de memoria de procesos Win32 en marcha sobre la marcha
    http://www.ntsecurity.nu/toolbox/pmdump/ · PMDump - PMDump es una herramienta que le permite volcar el contenido de la memoria de un proceso a un archivo sin detener el proceso

  • Herramientas de sandboxing / reversing
    Https://github.com/cuckoobox · Cuckoo - Open Source Herramienta de sandboxing altamente configurable
    https://github.com/spender-sandbox/cuckoo-modified · Cuckoo-modified - Cuckoo fork muy modificado desarrollado por la comunidad
    https://github.com/keithjjones/cuckoo-modified-api · Cuckoo-modified-api - Una biblioteca de Python para controlar un sandbox modificado con cuco
    https://www.hybrid-analysis.com/ · Análisis híbrido: Hybrid-Analysis es un entorno limitado en línea potente y gratuito de Payload Security
    https://malwr.com/ · Malwr - Malwr es un servicio gratuito de análisis de malware en línea y una comunidad, que funciona con Cuckoo Sandbox
    https://github.com/KoreLogicSecurity/mastiff · Mastiff - MASTIFF es un marco de análisis estático que automatiza el proceso de extracción de características clave de varios formatos de archivos diferentes.
    https://www.metadefender.com/ · Metadefender Cloud - Metadefender es una plataforma de inteligencia de amenazas gratuita que proporciona exploración multiscanking, desinfección de datos y evaluación de vulnerabilidad de archivos
    https://github.com/viper-framework/viper · Viper - Viper es un framework binario de análisis y gestión basado en python, que funciona bien con Cuckoo y YARA
    https://www.virustotal.com/ · Virustotal - Virustotal, una subsidiaria de Google, es un servicio gratuito en línea que analiza archivos y URL que permiten la identificación de virus, gusanos, troyanos y otros tipos de contenido malicioso detectado por motores antivirus y escáneres de sitios web.
    https://github.com/keithjjones/visualize_logs · Visualize_Logs : biblioteca de visualización de código abierto y herramientas de línea de comandos para registros. (Cuckoo, Procmon, más por venir ...)
    Herramientas de línea de tiempo
    https://www.fireeye.com/services/freeware/highlighter.html · Resaltador - Herramienta gratuita disponible de Fire / Mandiant que representará un archivo de registro / texto que puede resaltar áreas en el gráfico, que corresponden a una palabra o frase clave. Bueno para el tiempo que recubre una infección y lo que se hizo después del compromiso
    https://github.com/etsy/morgue · Morgue : una aplicación web PHP de Etsy para administrar autopsias.
    https://github.com/log2timeline/plaso · Plaso : un motor back-end basado en Python para la herramienta log2timeline

  • https://github.com/google/timesketch · Timesketch : herramienta de código abierto para el análisis colaborativo de línea de tiempo forense
    Videos
    https://www.demisto.com/category/videos/ · Recursos de video Demisto IR - Recursos de video para respuestas de incidentes y herramientas forenses
    · El futuro de la respuesta a incidentes : Presentado por Bruce Schneier en OWASP AppSecUSA 2015
    Colección de evidencia de Windows
    https://github.com/OMENScan/AChoir · AChoir - Achoir es una herramienta de marco de trabajo / scripting para estandarizar y simplificar el proceso de scripting utilidades de adquisición en vivo para Windows
    http://binaryforay.blogspot.co.il/ · Binaryforay - lista de herramientas gratuitas para win forensics ( http://binaryforay.blogspot.co.il/ )
    http://www.crowdstrike.com/community-tools/ · Crowd Response - Crowd Response de CrowdStrike es una aplicación ligera de consola de Windows diseñada para ayudar en la recopilación de información del sistema para respuesta a incidentes y compromisos de seguridad. Presenta numerosos módulos y formatos de salida
    https://github.com/SekoiaLab/Fastir_Collector · FastIR Collector - FastIR Collector es una herramienta que recopila diferentes artefactos en sistemas Windows en vivo y registra los resultados en archivos csv. Con los análisis de estos artefactos, se puede detectar un compromiso temprano
    https://github.com/jipegit/FECT · FECT - Fast Evidence Collector Toolkit (FECT) es un kit de herramientas de respuesta a incidentes ligeros para recopilar evidencias en una computadora Windows sospechosa. Básicamente, está destinado a ser utilizado por personas no conocedoras de la tecnología que trabajan con un controlador de incidentes oficial.
    https://github.com/rabbitstack/fibratus · Fibratus : herramienta para explorar y rastrear el kernel de Windows
    https://www.fireeye.com/services/freeware/ioc-finder.html · IOC Finder - IOC Finder es una herramienta gratuita de Mandiant para recopilar datos del sistema host e informar sobre la presencia de Indicadores de compromiso (IOC). Soporte solo para Windows
    https://www.fidelissecurity.com/resources/fidelis-threatscanner · Fidelis ThreatScanner - Fidelis ThreatScanner es una herramienta gratuita de Fidelis Cybersecurity que usa las reglas OpenIOC y YARA para informar sobre el estado de un punto final. El usuario proporciona las reglas OpenIOC e YARA y ejecuta la herramienta. ThreatScanner mide el estado del sistema y, cuando se completa la ejecución, se genera un informe para todas las reglas coincidentes. Solo Windows.

  • https://github.com/Neo23x0/Loki · LOKI - Loki es un escáner IR gratuito para escanear puntos finales con reglas yara y otros indicadores (IOC)
    https://github.com/AlmCo/Panorama · Panorama : descripción general de incidentes rápidos en sistemas Windows en vivo
    https://github.com/Invoke-IR/PowerForensics · PowerForensics - Plataforma de análisis forense en vivo, utilizando PowerShell
    https://github.com/gfoss/PSRecon/ · PSRecon : PSRecon recopila datos de un host remoto de Windows usando PowerShell (v2 o posterior), organiza los datos en carpetas, mezcla todos los datos extraídos, codifica PowerShell y varias propiedades del sistema, y envía los datos al equipo de seguridad. Los datos pueden enviarse a un recurso compartido, enviarse por correo electrónico o retenerse localmente.
    https://code.google.com/p/regripper/wiki/RegRipper · RegRipper - Regripper es una herramienta de código abierto, escrita en Perl, para extraer / analizar información (claves, valores, datos) del Registro y presentarla para su análisis
    https://code.google.com/p/triage-ir/ · TRIAGE-IR - Triage-IR es un colector de IR para Windows

  • wow, material para rato, muchas gracias

  • Para eso estamos, para ayudarnos y compartir!

  • Excelente información..... se agradece.

  • Excelente informacion! Muchas Gracias

Accede o Regístrate para comentar.