Платформа управления инцидентами безопасности (FIR) [Fast Incident Response]

FIR - легковесная платформа управления инцидентами безопасности . Она позволит легко создавать инцидетны, отслеживать их, а так же генерировать репорты по ним.

https://github.com/certsocietegenerale/FIR

Презентация:

https://2015.rmll.info/IMG/pdf/fir-rmll2015.pdf

Платформа подойдет для трекинга инцидентов CSIRTs, CERTs, SOCs, etc.

Я рассмотрю быстрое развертывание (не продакшн) на базе виртуалки с Ubuntu server 15 на борту:

#apt-get update
#apt-get install python-dev python-pip python-lxml git libxml2-dev libxslt1-dev libz-dev
#pip install virtualenv

Создаем виртуальное окружение:
#virtualenv env-FIR
#source env-FIR/bin/activate
#git clone https://github.com/certsocietegenerale/FIR.git

#cd FIR
#pip install -r requirements.txt

Активируем плагины:

#cp fir/config/installed_apps.txt.sample fir/config/installed_apps.txt 

#./manage.py migrate
#./manage.py loaddata incidents/fixtures/seed_data.json
#./manage.py loaddata incidents/fixtures/dev_users.json
Стартуем:

#./manage.py runserver 192.168.1.16:8000

Если разворачивать платформу в продакшн, есть отдельный гайд:

https://github.com/certsocietegenerale/FIR/wiki/Installation-on-a-production-environment 

Если система приживется, возможно разверну и опишу тонкости  процесса позже.

Дефолтный доступ: admin:admin

В итоге имеем простую, гибкую и кастомизируемую "тикет систему" с ИБ уклоном.

 Система базируется на Django.

FortiSandbox Fortinet [sniffer] part1.1

Опыт развертывания FortiSandbox, системы динамического + статического анализа файлов от компании Fortinet.

         

Часть 1.1



После установки и базовой настройки, я создал vswitch (vlan999) в промискус-моде, и подключил туда 3 устройства:

• FortiSandbox, портом "port6"
• Windows 7
• Ubuntu Server 15 с апачем на борту.

Настройка порта на санбоксе:

FortiSandbox Fortinet [ basic install / configure ] [part1.0]

Опыт развертывания FortiSandbox, системы динамического + статического анализа файлов от компании Fortinet.

Часть 1.0

Ко мне на тест попал виртуальный аплайнс для развертывания на гипервизорах vmware.
После запроса лицензий инстанс был зарегистрирован в базе форти и был сгенерирован файл для активации виртуалки (.lic)

Установка и настройка Fortisandbox:

Обязательным условием является поддержка CPU опций:
Intel Virtualization Technology (VT-x/EPT) или AMD Virtualization (AMD-V/RVI),
а так же в BIOS должен быть включен -  Virtualization Technology and 64-bit support.
На своем ESXI (6я версия) я добавил строчку:

[root@localhost:~] cat /etc/vmware/config
libdir = "/usr/lib/vmware"
authd.proxy.nfc = "vmware-hostd:ha-nfc"
authd.proxy.nfcssl = "vmware-hostd:ha-nfcssl"
authd.proxy.vpxa-nfcssl = "vmware-vpxa:vpxa-nfcssl"
authd.proxy.vpxa-nfc = "vmware-vpxa:vpxa-nfc"
authd.fullpath = "/sbin/authd"
vhv.enable = "TRUE"

Деплоим .ovf контейнер, настраиваем ip адрес на порту "port1" (ip адрес будет нужен на этапе генерации лицензий)




После деплоя, запускаем, ждем пока закончится разметка волумов, и инициализация бд.
Заходим, admin:пусто.
Прописываем адрес и гейт:
> set port1-ip 192.168.1.123/24
> set default-gw 192.168.1.1

Скачиваем файл лицензий, и заливаем их через Web-iface. (https://192.168.1.123)

Tor + SwitchyOmega + Chrome [.onion auto-proxy]

Связка простая:

Скачиваем Tor бандл с офф сайта :
https://www.torproject.org/download/download.html.en или
https://www.torproject.org/dist/torbrowser/5.5.1/tor-win32-0.2.7.6.zip

Анпачим архив, запускаем проксю:

Эксплойты для эскалации привилегий в Windows

Коллекция эксплойтов для поднятия привилегий в системах симейства Windows NT

[Exploit collection for NT operating system privilege escalation.]

https://github.com/dev-zzo/exploits-nt-privesc