Nervi0z/blue-team-tools

蓝队工作运维索引：防御、检测、应急响应和分析。涵盖 SOC 工具、DFIR、CTI、网络监控、端点安全、SIEM 和密码学。 优先选择在防御工作流中具有实际价值、积极维护的开源工具。 ## 目录 | # | 领域 | 核心工具 | |---|--------|-----------| | 01 | [资产发现与漏洞管理](./tools/01-asset-discovery-vulnerability-management.md) | Nmap, Shodan, GVM/OpenVAS, Nessus, Amass | | 02 | [网络安全监控](./tools/02-network-security-monitoring.md) | Suricata, Zeek, Wireshark, tcpdump, Snort | | 03 | [钓鱼分析与防御](./tools/03-phishing-analysis-defense.md) | urlscan.io, VirusTotal, Any.Run, GoPhish | | 04 | [数字取证与应急响应](./tools/04-digital-forensics-incident-response.md) | Volatility, Autopsy, KAPE, FTK Imager | | 05 | [网络威胁情报](./tools/05-cyber-threat-intelligence.md) | MISP, OpenCTI, MITRE ATT&CK, AbuseIPDB | | 06 | [密码学](./tools/06-cryptography.md) | OpenSSL, GnuPG, ccrypt | | 07 | [杂项防御工具](./tools/07-miscellaneous-defensive-tools.md) | Lynis, osquery, Sysinternals, Trivy, STIX/TAXII | | 08 | [端点安全与分析](./tools/08-endpoint-security-analysis.md) | Sysmon, Wazuh, Velociraptor, EDR/XDR concepts | | 09 | [SIEM 与日志管理](./tools/09-security-information-event-management.md) | Elastic Stack, Graylog, Security Onion, Splunk | ## 条目结构 每个工具条目包含： - 它的功能以及在防御场景中的重要性 - 包含实际命令的安装指南 - 面向蓝队工作的使用示例 - 替代方案和配置说明 ## 快速参考 用于在 SOC 轮值或调查期间快速定位的常用命令。 **网络捕获与分析** ``` # 在 eth0 上快速抓包，不进行名称解析 sudo tcpdump -i eth0 -nn -w capture.pcap # 使用 zeek 从 pcap 中提取 DNS 字段 zeek -r capture.pcap && cat dns.log | zeek-cut ts id.orig_h query answers # 在 Wireshark 中过滤 HTTP 流量 http.request.method == "POST" tls.handshake.type == 1 ``` **资产侦察** ``` # 存活主机清单 sudo nmap -sn 192.168.1.0/24 # 对关键服务器进行详细扫描 sudo nmap -sS -sV -O -sC -T4 192.168.1.100 -oN result.txt # 外部攻击面：自有子域名 amass enum -passive -d example.com -o subdomains.txt # 互联网暴露 shodan search net:203.0.113.0/24 --fields ip_str,port,org ``` **端点分析** ``` # 使用 config 安装 Sysmon sysmon64.exe -accepteula -i sysmon_config.xml # 查询磁盘上无二进制文件的进程 (osqueryi) SELECT pid, name, path FROM processes WHERE on_disk = 0; # 包含所属进程的活动连接 (osqueryi) SELECT pid, name, local_address, local_port, remote_address, remote_port FROM process_open_sockets WHERE family = 2; ``` **完整性与证书验证** ``` # 文件的 SHA-256 哈希 sha256sum file.zip # 检查服务器的 TLS 证书 openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates -subject # 验证发布版的 GPG 签名 gpg --verify file.sig file.tar.gz ``` **可疑邮件分析** ``` # 标头：自下而上阅读 Received: # 查找 Authentication-Results: spf=fail / dkim=fail / dmarc=fail # 查询源 IP: shodan host ``` **Suricata / IDS** ``` # 在 eth0 上启用 IDS 模式 sudo suricata -c /etc/suricata/suricata.yaml -i eth0 # 更新规则 sudo suricata-update # 实时监控警报 tail -f /var/log/suricata/fast.log ``` ## 贡献 如果缺少某个工具、链接损坏或条目过时 —— 欢迎贡献。请参阅 [CONTRIBUTING.md](./CONTRIBUTING.md) 了解流程。 ## 许可证 [MIT](./LICENSE)

标签：Burp Suite 替代, Cloudflare, CTI, DNS通配符暴力破解, EDR, Elastic Stack, GPT, Metaprompt, MITRE ATT&CK, MIT许可证, OISF, PB级数据处理, Rootkit, Security Onion, Suricata, Wazuh, Wireshark, Zeek, 二进制发布, 句柄查看, 域环境安全, 威胁情报, 安全工具索引, 安全测试工具, 安全运维, 密码学, 库, 应急响应, 开发者工具, 开源工具, 手动系统调用, 数字取证, 日志管理, 流量重放, 渗透测试防御, 漏洞管理, 现代安全运营, 端点安全, 网络安全, 脆弱性评估, 自动化脚本, 补丁管理, 钓鱼分析, 防御工具集, 隐私保护