网络安全 · 攻防对抗 · 蓝队清单，中文版.zip

# Awesome Cybersecurity Blue Team - CN[](https://awesome.re) > 攻防对抗 · 蓝队清单，中文版 本项目基于[awesome-cybersecurity-blueteam](https://github.com/fabacab/awesome-cybersecurity-blueteam)，经过蹩脚的翻译和一些补充，**旨在帮助以中文为母语的安全研究者更好地了解蓝队工作，以及便利地找寻蓝队工具**。 非常感谢原作者的整理，对于我这个蓝队的入门学习者来说，帮助非常大。也希望自己的一点点工作能帮助到你，一起来玩吧！ > 在网络安全蓝队方向的一些很酷的资源、工具和一些小玩意～ > > 网络安全·蓝队，是由一群能够识别信息技术系统中安全缺陷的人组成。他们能够验证安全防护措施的有效性，并且能持续监控系统并确保已采用的安全防御措施。 > > 尽管没有偏见，但这个列表更倾向于[自由软件](https://www.gnu.org/philosophy/free-sw.html)项目，而不是商业的产品和服务。 > > 关于攻防对抗的TTPs（战术、技术和过程），请查看这个项目：[awesome-pentest](https://github.com/fabacab/awesome-pentest). > > 你的贡献和建议十分重要，欢迎来参与(✿◕‿◕)。请查看[贡献准则](CONTRIBUTING.md)来获取更多的信息。本项目是在[Creative Commons Attribution 4.0 International License](http://creativecommons.org/licenses/by/4.0/)许可下进行的。 ## 🚀在线文档请查看：https://blue.y1ng.org ## 🧾目录 - [自动化工具](#%E8%87%AA%E5%8A%A8%E5%8C%96%E5%B7%A5%E5%85%B7) - [零碎的](#%E9%9B%B6%E7%A2%8E%E7%9A%84) - [代码库和绑定](#%E4%BB%A3%E7%A0%81%E5%BA%93%E5%92%8C%E7%BB%91%E5%AE%9A) - [安全编排自动化与响应](#%E5%AE%89%E5%85%A8%E7%BC%96%E6%8E%92%E8%87%AA%E5%8A%A8%E5%8C%96%E4%B8%8E%E5%93%8D%E5%BA%94) - [云平台安全](#%E4%BA%91%E5%B9%B3%E5%8F%B0%E5%AE%89%E5%85%A8) - [通讯安全](#%E9%80%9A%E8%AE%AF%E5%AE%89%E5%85%A8) - [DevSecOps](#devsecops) - [应用或二进制加固](#%E5%BA%94%E7%94%A8%E6%88%96%E4%BA%8C%E8%BF%9B%E5%88%B6%E5%8A%A0%E5%9B%BA) - [模糊测试](#%E6%A8%A1%E7%B3%8A%E6%B5%8B%E8%AF%95) - [策略执行](#%E7%AD%96%E7%95%A5%E6%89%A7%E8%A1%8C) - [蜜罐](#%E8%9C%9C%E7%BD%90) - [Tarpits](#tarpits) - [主机防护工具](#%E4%B8%BB%E6%9C%BA%E9%98%B2%E6%8A%A4%E5%B7%A5%E5%85%B7) - [沙箱](#%E6%B2%99%E7%AE%B1) - [事件响应工具](#%E4%BA%8B%E4%BB%B6%E5%93%8D%E5%BA%94%E5%B7%A5%E5%85%B7) - [事件响应管理平台](#%E4%BA%8B%E4%BB%B6%E5%93%8D%E5%BA%94%E7%AE%A1%E7%90%86%E5%B9%B3%E5%8F%B0) - [事件证据搜集（取证）](#%E4%BA%8B%E4%BB%B6%E8%AF%81%E6%8D%AE%E6%90%9C%E9%9B%86%E5%8F%96%E8%AF%81) - [网络外围防御](#%E7%BD%91%E7%BB%9C%E5%A4%96%E5%9B%B4%E9%98%B2%E5%BE%A1) - [防火墙设备或发行版](#%E9%98%B2%E7%81%AB%E5%A2%99%E8%AE%BE%E5%A4%87%E6%88%96%E5%8F%91%E8%A1%8C%E7%89%88) - [操作系统发行版](#%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F%E5%8F%91%E8%A1%8C%E7%89%88) - [网络钓鱼意识和报告](#%E7%BD%91%E7%BB%9C%E9%92%93%E9%B1%BC%E6%84%8F%E8%AF%86%E5%92%8C%E6%8A%A5%E5%91%8A) - [攻防演练](#%E5%A4%87%E6%88%98%E8%AE%AD%E7%BB%83%E5%8F%8A%E6%BC%94%E4%B9%A0) - [安全监控](#%E5%AE%89%E5%85%A8%E7%9B%91%E6%8E%A7) - [端点防护及响应（EDR）](#%E7%AB%AF%E7%82%B9%E9%98%B2%E6%8A%A4%E5%8F%8A%E5%93%8D%E5%BA%94edr) - [网络安全监控（NSM）](#%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E7%9B%91%E6%8E%A7nsm) - [安全信息和事件管理（SIEM）](#%E5%AE%89%E5%85%A8%E4%BF%A1%E6%81%AF%E5%92%8C%E4%BA%8B%E4%BB%B6%E7%AE%A1%E7%90%86siem) - [服务和性能监控](#%E6%9C%8D%E5%8A%A1%E5%92%8C%E6%80%A7%E8%83%BD%E7%9B%91%E6%8E%A7) - [威胁狩猎](#%E5%A8%81%E8%83%81%E7%8B%A9%E7%8C%8E) - [威胁情报](#%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5) - [Tor Onion服务防护](#tor-onion%E6%9C%8D%E5%8A%A1%E9%98%B2%E6%8A%A4) - [传输层防护](#%E4%BC%A0%E8%BE%93%E5%B1%82%E9%98%B2%E6%8A%A4) - [基于macOS的防护](#%E5%9F%BA%E4%BA%8Emacos%E7%9A%84%E9%98%B2%E6%8A%A4) - [基于Windows的防护](#%E5%9F%BA%E4%BA%8Ewindows%E7%9A%84%E9%98%B2%E6%8A%A4) - [License](#license) - [References](#references) ## 自动化工具 ### 零碎的 - [Ansible Lockdown](https://ansiblelockdown.io/) - 以信息安全为主题的Ansible（运维工具）规则集合。经过精心地审核，并且维护积极 - [Clevis](https://github.com/latchset/clevis) - 对于自动解密的可插入式工具，经常被用做[Tang](https://github.com/latchset/tang)客户端 - [DShell](https://github.com/USArmyResearchLab/Dshell) - 用Python编写网络取证分析框架，支持扩展，可快速开发插件来分析捕获的网络数据包 - [Dev-Sec.io](https://dev-sec.io/) - 服务器增强框架，提供各种基准安全配置的Ansible，Chef和Puppet实现 - [peepdf](https://eternal-todo.com/tools/peepdf-pdf-analysis-tool) - 支持脚本编写的PDF文件分析器 ### 代码库和绑定 - [MultiScanner](https://github.com/mitre/multiscanner) - 使用Python编写的文件分析框架，支持自动运行相关的工具，汇总输出帮助评估一组带分析的文件 - [Posh-VirusTotal](https://github.com/darkoperator/Posh-VirusTotal) - 可与VirusTotal.com的API进行交互的PowerShell接口 - [censys-python](https://github.com/censys/censys-python) - 对Censys REST API的Python轻量级封装 - [libcrafter](https://github.com/pellegre/libcrafter) - 一个c++的高级库，用于创建和解码网络数据包 - [python-dshield](https://github.com/rshipp/python-dshield) - 连接SANS ISC/DShiel API的Python接口 - 补充：SANS ISC是一个全球性的安全事件响应组织，为所有的Internet用户和组织提供免费的互联网攻击分析和预警服务 - [python-sandboxapi](https://github.com/InQuest/python-sandboxapi) - 用于构建恶意软件沙箱集成的最小型、并且长期有效的的Python API - [python-stix2](https://github.com/oasis-open/cti-python-stix2) - 用于序列化和反序列化STIX（JSON形式）的Python API，以及一些用于常见任务的高级API - 补充：STIX是用来交换威胁情报的一种语言和序列化格式，由MITRE联合DHS（美国国土安全部）发布 ### 安全编排自动化与响应 SOAR, Security Orchestration, Automation and Response, 安全编排自动化与响应。 另行查阅[Security Information and Event Management (SIEM)](#security-information-and-event-management-siem)和[IR management consoles](#ir-management-consoles). - [Shuffle](https://shuffler.io/) - 用于IT专家和蓝队成员的图形化工作流（自动化）生成器 ## 云平台安全 另请参阅：[asecure.cloud/tools](https://asecure.cloud/tools/). - [Checkov](https://www.checkov.io/) - 对于Terraform（在DevOps实践中，代码即基础设施概念）的静态分析器。可以帮助检测CIS策略违规行为，并防止云安全策略配置错误 - 补充：Terraform是一种安全有效地构建、更改和版本控制基础设施的工具(基础架构自动化的编排工具)[1] - 补充：[CIS](https://www.cisecurity.org/cis-benchmarks/)基准是安全配置系统的配置基线和最佳做法[2] - [Falco](https://falco.org/) - 行为活动监视器，旨在通过审核Linux内核和运行时数据（例如Kubernetes指标）进行拓展和丰富，以检测容器化的应用程序，以及主机和网络数据包流中的异常活动 - [Istio](https://istio.io/) - 提供统一的方式的开放平台，可以集成微服务，管理跨微服务的流量，执行策略和汇总遥测数据 - [Kata Containers](https://katacontainers.io/) - 使用轻量级虚拟机来保护容器的运行时，这些虚拟机的情况和性能类似于容器，但是使用硬件虚拟化技术作为第二层防御，可以提供更强的工作负载隔离 - [Managed Kubernetes Inspection Tool (MKIT)](https://github.com/darkbitio/mkit) - 可提供查询和验证托管Kubernetes群集