oot Sooty – یک ابزار CLI همه در یک برای تجزیه و تحلیل SOC – جوخه امنیت اطلاعات

ازvpn

Sooty ابزاری است که برای کمک به تحلیلگران SOC در خودکارسازی و تسریع بخش های یک گردش کار طراحی شده است.

هدف اصلی Sooty انجام هر چه بیشتر بررسی های معمول است که ممکن است ، به تحلیلگر این امکان را می دهد که زمان بیشتری را برای تجزیه و تحلیل های عمیق تر صرف کند.

ویژگی های Sooty SOC

  • URL های فیلترها برای ایمیل ایمن
  • بررسیهای DNS و DNS معکوس را انجام می دهد lookup
  • بررسیهای اعتبار را انجام می دهد:

VirusTotal

BadIP's

Abuse IPB

  • بررسی می کند که آدرس IP گره خروجی TOR باشد
    رمزگشایی دارای URL های Proofpoint ، URL های رمزگذاری شده UTF-8 ، URL های SafeLink Office و رشته های Base64
  • دریافت هش پرونده و مقایسه آنها با VirusTotal (به الزامات مراجعه کنید)
  • WhoIs جستجو
    نام ها را بررسی می کند کاربران و ایمیل های دارای HaveIBeenPwned برای دیدن اینکه آیا تخلف رخ داده است. (به الزامات مراجعه کنید)
  • یک تحلیل ساده از ایمیل ها را برای بازیابی آدرس های اینترنتی ، ایمیل ها و اطلاعات هدر انجام می دهد.
  • آدرس IP را از این قسمت استخراج کنید. نامه های الکترونیکی.
  • بررسی URL های بدون مرز که به طور خلاصه توسط سرویس های خارجی صورت گرفته است. [19659015] (محدود به 10 درخواست در ساعت)
  • به گزارش های اعتبار URLScan.io درخواست می کند.
  • آدرس های ایمیل را برای فعالیت مخرب شناخته شده تجزیه می کند و اعتبار دامنه را با استفاده از EmailRep.io گزارش می دهد
  • قالبهای ایمیل پویا ایجاد می کند که می تواند به عنوان پایه ای برای پاسخ به مرتب سازی فیشینگ مورد استفاده قرار گیرد. (فقط. Msg ، .eml در یک به روزرسانی آینده ظاهر خواهد شد)

نصب Sooty

  • Python 3.x

  • تمام وابستگی ها را نصب کنید pip install -r requ.txt

  • برای استفاده از مقایسه هش با VirusTotal ، به یک کلید API نیاز دارید ، کلید VT_API_KEY را در کد با کلید خود جایگزین کنید. این ابزار هنوز بدون این مورد کار می کند ، اما این عملکرد کار نمی کند.

  • برای استفاده از چک کننده شهرت با AbuseIPDB ، یک کلید API مورد نیاز است ، کلید AB_API_KEY را در کد با کلید خود جایگزین کنید. این ابزار هنوز بدون این مورد کار می کند ، اما این عملکرد کار نمی کند.

  • برای استفاده از تابع بررسی URLScan.io ، یک کلید API مورد نیاز است ، کلید URLSCAN_IO_KEY را در کد با کلید خود جایگزین کنید. این ابزار هنوز بدون این مورد کار می کند ، اما این عملکرد دیگر کار نخواهد کرد.

  • برای استفاده از عملکرد HaveIBeenPwned در صورت نیاز به کلید API ، کلید HIBP_API_KEY را در کد خود با کلید شخصی خود جایگزین کنید. این ابزار هنوز بدون این مورد کار می کند ، اما این عملکرد عملکردی نخواهد داشت.

شما می توانید Sooty را در اینجا بارگیری کنید:

Sooty-master.zip