应急工具合集

用于收集安全事件响应的工具与资源列表，更适合国产帕鲁。

目录

• 应急响应手册
• BAS
• 多功能工具
• 流量分析
• 日志分析
• 终端应急工具

应急响应手册

• 网络安全应急响应手册—NOPTeam

BAS

• Atomic Red Team — 一个映射至MITRE ATT&CK®框架的测试库。安全团队可以利用Atomic Red Team快速、可移植且可复现地测试其环境。
• MITRE Caldera — 一个网络安全平台，旨在便捷地实现自动化、为红队提供支持以及实现事件响应自动化。
• Red Team Automation — RTA（红队活动模拟工具）是一个脚本框架，旨在让蓝队能够针对模拟恶意攻击手法测试自身检测能力，其设计以MITRE ATT&CK框架为蓝本。已停止更新。
• Purple Team ATT&CK™ Automation — （PTAA）是一款开源自动化工具，主要用于通过模拟攻击战术评估安全检测与响应能力，支持红蓝对抗演练、安全审计等场景。已停止更新。

多功能工具

• FireKylin — 其功能是收集操作系统各项痕迹，支持Windows和Linux痕迹收集。
• 河马Webshell — 专注webshell查杀研究。拥有海量webshell样本和自主查杀技术，采用传统特征+深度检测+机器学习+云端大数据多引擎检测技术。查杀精度高、误报低。
• 猫鼠信安应急响应工具包 — 应急响应工具包合集。安全性未知。
• emergency_response_batch — 应急响应批处理；将Windows查看日志用户端口等命令集成在批处理脚本中。让熟练的应急人员能省去多次重复的敲击和记忆，并通过读取配置文件来调用Windows自带的命令结束进程服务等，本批处理尽量不调用任何外部的工具。任何调用的外部工具都将会存放在plugin目录下可按需使用，力图使用最原生的命令行来完成工作。已停止更新。
• RmTools — 蓝队应急工具，支持Yara扫描、ntfs stream流扫描等。已停止更新。
• dissect — 一个数字取证与事件响应框架及工具集，能够让你快速访问并分析来自多种磁盘和文件格式的取证工具。
• FLARE-VM — 适用于Windows系统的软件安装脚本集合，允许您轻松地在VM上设置和维护逆向工程环境。
• GRR — GRR快速响应是一个专注于远程实时取证的事件响应框架。
• Kuiper — 一个数字调查平台，它为调查团队和个人提供了解析、搜索、可视化收集到的证据的功能。
• matano — 开源云原生安全数据湖，专为AWS上的安全团队构建。

流量分析

• BlueTeamTools — 蓝队分析研判工具箱，功能包括内存马反编译分析、各种代码格式化、网空资产测绘功能、溯源辅助、解密冰蝎流量、解密哥斯拉流量、解密Shiro/CAS/Log4j2的攻击payload、IP/端口连接分析、各种编码/解码功能、蓝队分析常用网址、java反序列化数据包分析、Java类名搜索、Fofa搜索、Hunter搜索等。
• 科来网络分析系统（技术交流版）
• PotatoTool — 一款功能强大的网络安全综合工具，旨在为安全从业者、红蓝对抗人员和网络安全爱好者提供全面的网络安全解决方案。它集成了多种实用功能，包括解密、分析、扫描、溯源等，为用户提供了便捷的操作界面和丰富的功能选择。

日志分析

• WatchAD2.0 — 360信息安全中心开发的一款针对域安全的日志分析与监控系统，它可以收集所有域控上的事件日志、网络流量，通过特征匹配、协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁，功能覆盖了大部分目前的常见内网域渗透手法。
• GoAccess — GoAccess是一款开源的且具有交互视图界面的实时Web日志分析工具，通过你的Web浏览器或者*nix系统下的终端程序(terminal)即可访问。
• FinderWeb — tail、less、grep 支持，纯JAVA实现，不依赖于操作系统命令。支持超大文件，无论多大的文件都秒开。
• web-log-parser — 开源的分析web日志工具，采用python语言开发，具有灵活的日志格式配置。
• ELK — 开源实时日志分析的ELK平台，由ElasticSearch、Logstash和Kiabana三个开源项目组成，在企业级日志管理平台中十分常见。
• Splunk — 顶级的日志分析软件，商业版，有Free版可以使用。
• IBM QRadar — 免费的社区版本，功能上和商用版本差别不大，适合小规模日志和流量分析使用。
• Log Parser 2.2 — 一种功能强大、用途广泛的工具，可提供对基于文本的数据（如日志文件、XML文件和CSV文件）以及Windows®作系统上的关键数据源（如事件日志、注册表、文件系统和Active Directory®）的通用查询访问。

终端应急工具

• LinuxCheck — Linux应急处置/信息搜集/漏洞检测工具，支持基础配置/网络流量/任务计划/环境变量/用户信息/Services/bash/恶意文件/内核Rootkit/SSH/Webshell/挖矿文件/挖矿进程/供应链/服务器风险等13类70+项检查。
• 司稽|Whoamifuck — 用于Linux应急响应，快速排查异常用户登录情况和入侵信息排查，准确定位溯源时间线，高效辅助还原攻击链。
• FindAll — 网络安全蓝队设计的应急响应工具，旨在帮助团队成员有效地应对和分析网络安全威胁。工具集成了先进的信息搜集和自动化分析功能，以提高安全事件应对的效率和准确性。FindAll采用客户端-服务器（CS）架构，特别适用于那些无法直接登录远程主机进行安全检查的场景。在这种情况下，拥有相应权限的运维人员只需在目标主机上运行FindAll的Agent组件来收集必要的数据。 随后，将数据下载到本地，供安全专家通过FindAll的直观图形用户界面（GUI）进行深入分析。
• Linuxgun — Linux安全应急响应检查脚本。
• Gscan — 为安全应急响应人员对Linux主机排查时提供便利，实现主机侧Checklist的自动全面化检测，根据检测结果自动数据聚合，进行黑客攻击路径溯源。已停止更新。
• GetInfo — 应急响应信息采集，快速收集Windows相关信息，为应急响应争取更多的时间。
• Hawkeye — 本工具为安全分析、应急响应、事件响应、DFIR、安全服务等岗位从业人员设计的一个图形化Windows安全分析工具，涵盖常见Windows安全分析场景，能够有效的发现Windows主机存在的安全威胁
• Winscan — 一键Windows应急响应检测脚本，信息收集相关：操作系统信息、系统补丁情况、系统账户和用户组。
• emergency_response — 一个应急响应的工具，自带规则，可以分析启动项、网络之类。