⚽️ BloodSOCer
Инструмент автоматизации на Python, который собирает данные об угрозах из нескольких источников (Mitre ATT&CK, правила Sigma, Atomic Red Team) и создает файлы JSON для загрузки в BloodHound в формате OpenGraph.
BloodSOCer также может загружать файлы в BloodHound и устанавливать значки для пользовательских объектов, если в конфигурации указаны токены API. Затем аналитики по безопасности могут визуализировать данные под любым углом. Для начала работы предлагается несколько запросов Cypher.
Характеристики
🔵 SigmaHound - загружает и обрабатывает правила Sigma;
🔵 ARTHound - загружает и обрабатывает тесты Atomic Red Team (ART);
🔵 Define Icons - настройка пользовательских иконок BloodHound для злоумышленников и техник;
🔵 Saved Queries - импортирует встроенные Cypher-запросы в BloodHound через UL-Cyphers.py или флаг --setup;
🔵 Batch Upload - загружает сгенерированные JSON-графы в BloodHound с автоматическим запуском импорта;
🔵 Upload Only - для случаев, когда файлы уже есть, но нужно импортировать в новый экземпляр BloodHound или после очистки базы данных;
🔵 Clear Database - сбрасывает экземпляр BloodHound через API перед новым импортом;
🔵 Setup Helper - один флаг для одновременного обновления иконок и импорта; сохранённых запросов;
🔵 One Playbook linked to 2 TTP - демонстрационный пример того, как выглядит привязка ваших IR-плейбуков к ATT&CK после загрузки данных;
🔵 CLI Interface - простые аргументы командной строки для запуска отдельных или всех компонентов.
⚡️ Установка
В apikey необходимо указать ключ API BloodHound, в apiid — идентификатор API BloodHound.
⚙️ Использование
Запуск отдельных источников событий.
Комбинация нескольких операций.
Удалить все данные из базы.
#BloodSOCer #SOC #ThreatIntelligence #Python
➡️ Все наши каналы 💬 Все наши чаты ⚡️ Для связи с менеджером
Инструмент автоматизации на Python, который собирает данные об угрозах из нескольких источников (Mitre ATT&CK, правила Sigma, Atomic Red Team) и создает файлы JSON для загрузки в BloodHound в формате OpenGraph.
BloodSOCer также может загружать файлы в BloodHound и устанавливать значки для пользовательских объектов, если в конфигурации указаны токены API. Затем аналитики по безопасности могут визуализировать данные под любым углом. Для начала работы предлагается несколько запросов Cypher.
Идея этого проекта заключается в том, чтобы помочь SOC-отделам составить карту охвата фреймворка Mitre ATT&CK и быстро определить «слепые зоны» во время реагирования на инциденты.
Характеристики
В apikey необходимо указать ключ API BloodHound, в apiid — идентификатор API BloodHound.
git clone https://github.com/yourusername/BloodSOCer.git
cd BloodSOCer
pip3 install -r requirements.txt
apikey = "your-api-key-here"
apiid = "your-api-id-here"
Запуск отдельных источников событий.
python3 BloodSOCer.py --mitre, -m
python3 BloodSOCer.py --sigma, -s
python3 BloodSOCer.py --art, -r
Комбинация нескольких операций.
python3 BloodSOCer.py --mitre --sigma --define-icons
Удалить все данные из базы.
python3 BloodSOCer.py --clear-db
#BloodSOCer #SOC #ThreatIntelligence #Python
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤5🔥5