VECTR
What: #platform
Where: #github
Who: SecurityRiskAdvisors
When: 04/10/2017
How: via docker
Гость сегодняшнего поста — фиолетовая платформа VECTR для фиолетовых коллег 😈 Задумывалась разработчиками как аналитический инструмент для отслеживания действий как Red Team так и Blue Team. И таки они достигли своих целей. На мой взгляд, получилась довольно удобная вещь, в которой можно задокументировать действия атакующих, ханты по исследованию инфраструктуры, а также писать заметки о том, сработало ли правило корреляции, есть ли необходимые журналы событий, а может отправить кейс в бэклог на доработку? 🤔 Просто посмотрите, как выглядит карточка покрытия техники ATT&CK (ниже скриншот). Всё в одном месте и логи и атака с детектом.
Все работы ведутся в рамках единого окна, интерфейс интуитивно понятный. Есть ранжир по скорингу, техникам матрицы ATT&CK (слой можно выгрузить для Navigator’а). Важное дополнение, которое делает платформу ещё более значимой, — это возможность автоматизации проверок.
Установка максимально простая. Поднимаем виртуалку с Ubuntu на борту (я взял Ubuntu Server 22.04 LTS), ставим докер, пулим репозиторий, docker compose up -d, не забываем выключить фаервол и настроить bridge в сетевых интерфейсах виртуальной машинки и можно подключаться. Можно, разумеется, и локально развернуть, кто ж вам запретит 🙂
Разработчики активно поддерживают проект. Это совсем не та история, когда сделали на коленке и забили. Последняя версия 8.9.3 вышла 01.12.2023, а последний коммит запулили в репозиторий 4 дня назад.
Кому будет полезно? Всем аналитикам SOC, разработчикам детектирующего контента и менеджменту. За счёт того, что можно показывать покрытие правил корреляции, за счёт того, что можно наглядно по вредоносной компании пройтись, выяснить каких логов не хватает и доработать аудит.