TokyoBlackHatNews

meterpreter.org 4分で読了

Spreadsheet of Doomを超えて:KANVASでインシデント対応をマスターしよう

Image

KANVAS はPythonで構築された直感的なデスクトップインターフェースを備えたIR(インシデント対応)ケース管理ツールです。SOD(Spreadsheet of Doom)または同様のスプレッドシートで作業する調査員のための統一されたワークスペースを提供し、複数のアプリケーション間の切り替えなしに主要なワークフローを完了できます。

主な機能

ケース管理

  • SOD(Spreadsheet of Doom)に基づいている:すべてのデータはスプレッドシート内に保持され、配布とコラボレーションが簡単になります。アプリケーション外での共有も可能です。
  • 複数ユーザー対応:ファイルはローカルマシンまたは共有ドライブに配置でき、複数の調査員による積極的なコラボレーションが可能です。ファイルロックにより、編集が適切に管理され、競合が回避されます。
  • ワンクリックサニタイズ:スプレッドシートデータ(ドメイン、URL、IPアドレスなど)をワンクリックでサニタイズでき、簡単に共有・保存できます。

データ可視化

  • 攻撃チェーン可視化:横方向の移動を可視化して、攻撃者の攻撃経路を素早く確認します。再描画オプションにより、複数の方法で図を表示できます。
  • インシデントタイムライン:インシデントタイムラインは時系列順で提示され、調査員がインシデント全体のシーケンスとタイミングを素早く理解するのに役立ちます。
  • MITREフロービルダー:攻撃者の行動シーケンスを可視化・共有できます。攻撃者のTTPでフローを入力し、インシデント中に見られた技術のシーケンスをマップするためにリンクできます。
  • レポート用エクスポート:横方向の移動およびタイムライン可視化は画像ファイルまたはCSVとしてエクスポートでき、プレゼンテーションまたは調査レポートで直接使用できます。

脅威インテリジェンスルックアップ

  • IP評判:さまざまなAPI統合を使用したIP評判、地理位置情報、オープンポート、既知の脆弱性など。
  • ドメイン/URL インサイト:さまざまなAPI統合を使用したWHOISデータ、DNSレコード、その他。
  • ファイルハッシュインサイト:ハッシュ値に基づいてさまざまなプラットフォーム上のバイナリファイルインサイトをルックアップします。
  • CVEインサイト:CISAおよびその他の脆弱性インテリジェンスソースに基づいた既知エクスプロイト使用の情報。
  • メールインサイト:メールアドレスが既知のデータ漏洩に出現したかどうかに関する情報。
  • ランサムウェア被害者:顧客または組織のデータがランサムウェア攻撃後にオンラインで公開されたかどうかを確認します。

セキュリティフレームワークマッピング

  • MITRE ATT&CKマッピング:攻撃者の活動をマッピングするための最新のMITREタクティクスおよび技術を提供します。
  • MITRE D3FENDマッピング:識別されたATT&CK技術に基づいて防御戦略をマップするのに役立ちます。防御者の観点からインシデントに対応する場合に特に有用です。
  • V.E.R.I.S. レポート:VERISデータを追跡するためのインターフェースを提供し、インシデント後にさまざまな政府機関と共有し、ベライゾンデータ侵害報告書に貢献できます。

ワンクリックレポート生成

  • HTMLレポート:レポートは単一の自己完結型HTMLファイルとして生成されます。すべての画像はBase64エンコードされ、ドキュメント内に直接埋め込まれるため、別の画像ファイルを管理・共有する必要はなく、1つのHTMLファイルで十分です。
  • レポート内容:インシデントタイムライン、横方向の移動、ダイヤモンドモデル、調査サマリー、セキュリティ推奨事項など。

ナレッジマネジメント

  • ブックマーク:セキュリティツールのキュレーションされたリスト、最新のMicrosoftポータルURLのリスト、および調査固有のカスタムブックマークを作成する機能を提供します。
  • マークダウンエディタ:マークダウンドキュメントを作成・更新するためのインターフェースを提供します。調査中のメモ取りや調査プレイブックの読み込みに最適です。
  • イベントID リファレンス:Windowsイベント IDを1か所に統合し、永続性、横方向の移動などのカテゴリ別に整理します。調査中の相互参照を簡単にします。
  • MS Entra ID リファレンス:既知および悪意のあるMicrosoft Entra ID AppIDの検索可能なリストを提供します。ビジネスメールコンプロミス(BEC)ケースの調査に役立ちます。
  • Living Off the Land Binaries:脅威行為者が悪用した既知のMicrosoftのliving-off-the-land(LOLBAS)バイナリの検索可能なリストを提供します。
  • Microsoft Azureポータル:常に変化するMicrosoft Azure/Entra URLの検索可能なリストを提供し、Azureクラウドインシデント対応に役立ちます。
  • DLLハイジャック:Hijacklibsプロジェクトに基づいたDLLサイドローディング関連情報の検索可能なリストを提供します。

インストール&使用

翻訳元: https://meterpreter.org/kanvas-incident-response-case-management-sod-tool/

ソース: meterpreter.org
#KANVAS #MITRE ATT&CK #インシデントレポート #インシデント対応 #オープンソースツール #ケース管理 #セキュリティ分析 #デジタルフォレンジック #攻撃チェーン可視化 #脅威インテリジェンス

関連記事

Dashlaneのロックアウト事件:セキュリティ対策とユーザーへの影響

Bitskrieg仮説:Secure BootとBitLockerバイパスという迫りくる脅威

制限解除の波紋:AnthropicがClaudeの緊急クォータ復元を実施