Splunk Attack Range:一款针对Splunk安全的模拟测试环境创建工具

关于Splunk Attack Range

Splunk Attack Range是一款针对Splunk安全的模拟测试环境创建工具,该工具完全开源,目前由Splunk威胁研究团队负责维护。

该工具能够帮助广大研究人员构建模拟攻击测试所用的本地或云端环境,并将数据转发至Splunk实例中。除此之外,该工具还可以用来开发和测试安全检测机制的有效性。

功能特性

Splunk Attack Range是一个检测开发平台,主要解决了检测过程中的三个主要挑战:

1、用户能够快速构建尽可能接近生产环境的小型安全实验基础设施;

2、Splunk Attack Range使用了不同的引擎(例如Atomic Red Team or Caldera)执行模拟攻击测试,以生成真实的攻击测试数据;

3、该工具支持无缝集成到任何持续集成/持续交付(CI/CD)管道中,以自动化的形式实现检测规则测试过程;

工具架构

Splunk Attack Range的部署主要由以下组件构成:

1、Windows域控制器;

2、Windows服务器;

3、Windows工作站;

4、Kali Linux设备;

5、Splunk服务器;

6、Splunk SOAR服务器;

7、Nginx服务器;

8、Linux服务器;

9、Zeek服务器;

支持收集的日志源

Windows Event Logs (index = win)

Sysmon Logs (index = win)

Powershell Logs (index = win)

Aurora EDR (index = win)

Sysmon for Linux Logs (index = unix)

Nginx logs (index = proxy)

Network Logs with Splunk Stream (index = main)

Attack Simulation Logs from Atomic Red Team and Caldera (index = attack)

工具安装

Docker使用

广大研究人员可以直接在AWS环境中执行下列命令安装和配置Splunk Attack Range:

docker pull splunk/attack_rangedocker run -it splunk/attack_rangeaws configurepython attack_range.py configure

工具运行

工具配置:

python attack_range.py configure

工具构建:

python attack_range.py build

工具封装:

python attack_range.py packer --image_name windows-2016

显示基础设施:

python attack_range.py show

结合Atomic Red Team或PurpleSharp执行攻击测试模拟:

python attack_range.py simulate -e ART -te T1003.001 -t ar-win-ar-ar-0
python attack_range.py simulate -e PurpleSharp -te T1003.001 -t ar-win-ar-ar-0

销毁工具:

python attack_range.py destroy

终止执行:

python attack_range.py stop

恢复执行:

python attack_range.py resume

从工具转储日志数据:

python attack_range.py dump --file_name attack_data/dump.log --search 'index=win' --earliest 2h

数据转储至Attack Range Splunk服务器:

python attack_range.py replay --file_name attack_data/dump.log --source test --sourcetype test

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可证协议。

项目地址

Splunk Attack Range:【GitHub传送门】

参考资料

Attack Range Docs — Attack Range 3.0.0 documentation

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/302438.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Pytest插件pytest-selenium-让自动化测试更简洁

在现代Web应用的开发中,自动化测试成为确保网站质量的重要手段之一。而Pytest插件 pytest-selenium 则为开发者提供了简单而强大的工具,以便于使用Python进行Web应用的自动化测试。本文将深入介绍 pytest-selenium 插件的基本用法和实际案例,…

达梦数据库的V$DM_INI和V$PARAMETER系统视图

V$DM_INI和V$PARAMETER是达梦数据库中两个常用的系统视图,用于查看数据库的配置参数。这两个视图的主要区别在于它们展示参数的来源和用途。 V$DM_INI V$DM_INI视图主要用于展示数据库启动时加载的初始化参数信息。这些信息通常来自于数据库的初始化参数文件&…

VSCode+Cmake 调试时向目标传递参数

我有一个遍历文件层次结构的程序,程序根据传入的文件路径,对该路径下的所有文件进行遍历。这个程序生成一个名为 ftw 的可执行文件,如果我要遍历 /bin 目录,用法为: ftw /bin问题是,如果我想单步跟踪&…

docker + miniconda + python 环境安装与迁移(简化版)

本文主要列出从安装dockerpython环境到迁移环境的整体步骤。windows与linux之间进行测试。 详细版可以参考:docker miniconda python 环境安装与迁移(详细版)-CSDN博客 大概过程手绘了一下: 一、docker 安装 略过&#xff0c…

数据库之DQL操作(数据查询语言)

DQL英文全称是Data Query Language(数据查询语言),数据查询语言,用来查询数据库中表的记录。查询关键字: SELECT。 本节介绍以下表为例: create table emp(id int comment 编号,workno varchar(10) comment 工号,nam…

Kafka参数介绍

官网参数介绍:Apache KafkaApache Kafka: A Distributed Streaming Platform.https://kafka.apache.org/documentation/#configuration

java中使用雪花算法(Snowflake)为分布式系统生成全局唯一ID

(全局唯一ID的解决方案有很多种,这里主要是介绍和学习Snowflake算法) 什么是雪花算法(Snowflake) 雪花算法(Snowflake Algorithm)是由Twitter公司在2010年左右提出的一种分布式ID生成算法&…

并查集-合并集合

#include<iostream> using namespace std; const int N 100010;int n, m; int p[N]; int find(int x)//返回x的祖宗节点路径压缩 {if (p[x] ! x)p[x] find(p[x]);return p[x]; } int main() {scanf("%d%d", &n, &m);for (int i 1; i < n; i)p[i]…

html写一个登录注册页面

<!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>注册登录界面Ⅰ</title><link rel"stylesheet" href"https://cdnjs.cloudflare.com/ajax/libs/normalize/8.0.1/normalize.mi…

一闪论文靠谱吗 #媒体#笔记

一闪论文是一个以其高效、靠谱的特点而闻名的论文写作工具&#xff0c;它不仅可以帮助用户快速完成论文&#xff0c;还能够有效降低查重率&#xff0c;是许多学生和学者的首选。 首先&#xff0c;一闪论文的操作简单方便&#xff0c;用户只需上传论文内容&#xff0c;选择需要查…

linux上使用redis-cli登录以及操作redis

1、找到redis-cli 2、输入redis-cli回车 3、登录redis 输入auth密码 4、登录成功

基于Java+SpringBoot+Vue剧场管理系统(源码+文档+部署+讲解)

一.系统概述 二十一世纪我们的社会进入了信息时代&#xff0c;信息管理系统的建立&#xff0c;大大提高了人们信息化水平。传统的管理方式对时间、地点的限制太多&#xff0c;而在线管理系统刚好能满足这些需求&#xff0c;在线管理系统突破了传统管理方式的局限性。于是本文针…

OSCP靶场--Nagoya

OSCP靶场–Nagoya 考点 1.nmap扫描 ## ┌──(root㉿kali)-[~/Desktop] └─# nmap 192.168.214.21 -sV -sC -Pn --min-rate 2500 -p- Starting Nmap 7.92 ( https://nmap.org ) at 2024-04-02 08:52 EDT Nmap scan report for 192.168.214.21 Host is up (0.38s latency).…

OpenCV与AI深度学习 | 实战 | 使用OpenCV确定对象的方向(附源码)

本文来源公众号“OpenCV与AI深度学习”&#xff0c;仅用于学术分享&#xff0c;侵权删&#xff0c;干货满满。 原文链接&#xff1a;实战 | 使用OpenCV确定对象的方向(附源码) 导读 本文将介绍如何使用OpenCV确定对象的方向(即旋转角度&#xff0c;以度为单位)。 1 先决条件…

数据库入门-----SQL基础知识

目录 &#x1f4d6;前言&#xff1a; &#x1f4d1;SQL概述&&通用语法&#xff1a; &#x1f433;DDL&#xff1a; &#x1f43b;操作数据库&#xff1a; &#x1f41e;数据类型&#xff1a; &#x1f989;操作表&#xff1a; &#x1f9a6;DML: 语法规则&#x…

xgo: golang基于-toolexec实现猴子补丁

注&#xff1a; 转载请注明出处&#xff0c; 原文链接。 概述 在这篇博客中&#xff0c;我将详细介绍 xgo 的实现细节。 如果你不知道&#xff0c;xgo 项目位于 https://github.com/xhd2015/xgo。 它的作用很简单&#xff0c;就是在每个 Go 函数的开头添加拦截器&#xff0…

吴恩达深度学习 (week1,2)

文章目录 1、神经网络监督学习2、深度学习兴起原因3、深度学习二元分类4、深度学习Logistic 回归5、Logistic 回归损失函数6、深度学习梯度下降法7、深度学习向量法8、Python 中的广播9、上述学习总结10、大作业实现:rocket::rocket:&#xff08;1&#xff09;训练初始数据&…

Android 关于apk反编译d2j-dex2jar classes.dex失败的几种方法

目录 确认路径正确直接定位到指定目录确定目录正确&#xff0c;按如下路径修改下面是未找到相关文件正确操作 确认路径正确 &#xff0c;即d2j-dex2jar和classes.dex是否都在一个文件夹里&#xff08;大部分的情况都是路径不正确&#xff09; 直接定位到指定目录 路径正确的…

2024年32款数据分析工具分五大类总览

数据分析工具在现代商业和科学中扮演着不可或缺的角色&#xff0c;为组织和个人提供了深入洞察和明智决策的能力。这些工具不仅能够处理大规模的数据集&#xff0c;还能通过强大的分析和可视化功能揭示隐藏在数据背后的模式和趋势。数据分析工具软件主要可以划分为以下五个类别…

2024年抖音小店还有机会吗?多年小店商家,带来最新判断!

大家好&#xff0c;我是电商糖果 糖果做电商有7年时间了&#xff0c;从2020年开始做抖音小店&#xff0c;现在已经经营了多家小店。 关于抖音小店的热度这几年一直居高不下&#xff0c;说实话几乎每天都有不少朋友找糖果咨询&#xff0c;2024年抖音小店还有机会吗&#xff1f…