Splunk Attack Range:一款针对Splunk安全的模拟测试环境创建工具

关于Splunk Attack Range

Splunk Attack Range是一款针对Splunk安全的模拟测试环境创建工具,该工具完全开源,目前由Splunk威胁研究团队负责维护。

该工具能够帮助广大研究人员构建模拟攻击测试所用的本地或云端环境,并将数据转发至Splunk实例中。除此之外,该工具还可以用来开发和测试安全检测机制的有效性。

功能特性

Splunk Attack Range是一个检测开发平台,主要解决了检测过程中的三个主要挑战:

1、用户能够快速构建尽可能接近生产环境的小型安全实验基础设施;

2、Splunk Attack Range使用了不同的引擎(例如Atomic Red Team or Caldera)执行模拟攻击测试,以生成真实的攻击测试数据;

3、该工具支持无缝集成到任何持续集成/持续交付(CI/CD)管道中,以自动化的形式实现检测规则测试过程;

工具架构

Splunk Attack Range的部署主要由以下组件构成:

1、Windows域控制器;

2、Windows服务器;

3、Windows工作站;

4、Kali Linux设备;

5、Splunk服务器;

6、Splunk SOAR服务器;

7、Nginx服务器;

8、Linux服务器;

9、Zeek服务器;

支持收集的日志源

Windows Event Logs (index = win)

Sysmon Logs (index = win)

Powershell Logs (index = win)

Aurora EDR (index = win)

Sysmon for Linux Logs (index = unix)

Nginx logs (index = proxy)

Network Logs with Splunk Stream (index = main)

Attack Simulation Logs from Atomic Red Team and Caldera (index = attack)

工具安装

Docker使用

广大研究人员可以直接在AWS环境中执行下列命令安装和配置Splunk Attack Range:

复制代码
docker pull splunk/attack_range

docker run -it splunk/attack_range

aws configure

python attack_range.py configure

工具运行

工具配置:

复制代码
python attack_range.py configure

工具构建:

复制代码
python attack_range.py build

工具封装:

复制代码
python attack_range.py packer --image_name windows-2016

显示基础设施:

复制代码
python attack_range.py show

结合Atomic Red Team或PurpleSharp执行攻击测试模拟:

复制代码
python attack_range.py simulate -e ART -te T1003.001 -t ar-win-ar-ar-0
复制代码
python attack_range.py simulate -e PurpleSharp -te T1003.001 -t ar-win-ar-ar-0

销毁工具:

复制代码
python attack_range.py destroy

终止执行:

复制代码
python attack_range.py stop

恢复执行:

复制代码
python attack_range.py resume

从工具转储日志数据:

复制代码
python attack_range.py dump --file_name attack_data/dump.log --search 'index=win' --earliest 2h

数据转储至Attack Range Splunk服务器:

复制代码
python attack_range.py replay --file_name attack_data/dump.log --source test --sourcetype test

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可证协议。

项目地址

Splunk Attack Range :【GitHub传送门

参考资料

Attack Range Docs --- Attack Range 3.0.0 documentation

相关推荐
Gold Steps.34 分钟前
JumpServer:解锁运维安全的数字 “钥匙”
运维·安全·jumpserver
云布道师1 小时前
云服务运行安全创新标杆:阿里云飞天洛神云网络子系统“齐天”再次斩获奖项
网络·人工智能·安全·阿里云·云计算·云布道师
KKKlucifer2 小时前
从被动响应到主动免疫:运营商行业内生安全防御系统建设
安全
马丁的代码日记2 小时前
智能合约安全专题(一):什么是重入攻击?——从 DAO 事件谈起
安全·区块链·智能合约
Digitally4 小时前
如何安全地准备 iPhone 以旧换新(分步说明)
安全·ios·iphone
框架主义者4 小时前
西电【网络与协议安全】课程期末复习的一些可用情报
网络·安全
智驱力人工智能4 小时前
雨季智慧交通:从车辆盲区到客流统计的算法全覆盖
人工智能·科技·算法·安全·智慧城市·智慧交通·渣土车识别
mountorWeb_016 小时前
你的网站真的安全吗?如何防止网站被攻击?
安全·运维开发
阿部多瑞 ABU6 小时前
# 主流大语言模型安全性测试(二):英文越狱提示词下的表现与分析
人工智能·安全·ai·语言模型·自然语言处理·安全性测试
vortex56 小时前
Nuclei PoC 编写详解:从入门到实践
安全·web安全·网络安全·渗透测试