[SOC] Outils de cyber défense
Introduction
Cette page répertorie une base d'outils de cyber défense utile à un SOC ou même à un administrateur aguéri et conscient des enjeux cyber.
Scanner d'URL
Une multitude d'outils existent pour scanner les URL grâce à leur réputation.
Voici une liste d'outils :
- VirusTotal
- MetaDefender Cloud - OPSWAT
- URLscan.io
- URLhaus
- WhoIs
- Cisco Talos Intelligence
- ThreatMiner
- Brightcloud
Scanner d'adresse IP
Voici une liste d'outils en ligne pour analyser la réputation des adresses IP :
- AbuseIPDB
- MetaDefender Cloud - OPSWAT
- Cisco Talos Intelligence
- Feodo Tracker
- Threatbook
- Pulsedive
- Shodan
- XForceIBM
- Alienvault
- GreyNoise
Scanner de fichier et de hash
Voici une liste d'outils en ligne pour analyser des fichiers et des hashs de fichiers :
- VirusTotal
- MetaDefender Cloud - OPSWAT
- MalwareBazaar
- Malshare
- Cisco Talos Intelligence
- HybridAnalysis
Règles de détection
Blacklist d'empreintes de certificats SSL
Scanner de mail
Pour se protéger du phishing, il peut être utile d'utiliser des outils qui vont décortiquer le mail afin de potentiellement trouver des IOC.
Sandbox
Les sandboxs permettent de tester le comportement de fichier ou de site web afin de détecter un comportement malveillant dans un environnement protégé.
- Browserling : Accéder à un site web dans une sandbox.
- AnyRun : Lancer un exécutable Windows dans une sandbox.
- Wannabrowser : Accéder à un site web dans une sandbox.
Matrice MITRE ATT&CK
Framework permettant notamment de lister les TTPs et les APT.
Liste d'IOC multiples
- ThreatFox : MISP events, Suricata IDS Ruleset, Domain Host files, DNS Response Policy Zone, JSON files and CSV files.
PS - Obtenir le hash d'un fichier
Get-FileHash <FILE> -Algorithm MD5