Awesome Security Lists для SOC DFIR

источник ↗ ·

Большая навигационная страница с сотнями ссылок на списки IOC, инструменты, курсы, лабы и ресурсы для SOC, Threat Hunting, DFIR и Red/Blue Team.

threat-hunting dfir soc awesome-lists detection-engineering ioc security-resources mitre-attack

privacy

Эта заметка участвует в semantic memory.

AI Summary

Страница представляет собой обширный каталог ссылок, разделённых на несколько больших блоков.

  1. Короткий обзор сути Это «awesome-list»-репозиторий, собранный @mthcht, который агрегирует сотни ссылок на списки IOC, инструменты, курсы, лабы и блоги для SOC, Threat Hunting и DFIR.

  2. Ключевые тезисы • Основной репозиторий списков: https://github.com/mthcht/awesome-lists/tree/main/Lists • Регулярное обновление после анализа каждого инструмента в проекте detection-keywords. • Списки включают: ThreatHunting keywords, YARA-правила, подозрительные сервисы/задачи/пайпы/порты, подозрительные TLD/ASN/User-Agent/CERT/USB-ID/MAC/Hostname/Mutex, списки VPN/Proxy/TOR, ransomware-расширения и записки, LOLDrivers, hijacklibs, sinkholed-домены и др. • Отдельные CSV/списки: suspicious_named_pipe_list.csv, suspicious_TLDs, suspicious_windows_services_names_list.csv, loldrivers_only_hashes_list.csv и т.д. • Дополнительные ресурсы: Eric Zimmerman Tools, Arsenal Recon, SIFT, Zircolite, MemProcFS-Analyzer, NetworkMiner, Bulk Extractor и др. • MITRE ATT&CK: матрицы, тактики, техники, mitigation, PRE-ATT&CK, ATT&CK Navigator, данные в xlsx. • Блоги и фиды: Microsoft, Elastic, CrowdStrike, SentinelOne, Proofpoint, Google Project Zero и ~50 других. • Каналы YouTube/конференций: ippsec, JohnHammond, BlackHat, DEFCON, BSides и др. • Discord/Slack-сообщества: Initial Access Guild, BloodHoundHQ, Sigma HQ, Hunter’s Den и др. • Курсы и лабы: 13cubed, letsdefend.io, Xintra, Constructing Defense, dfir-labs, BOTS, OSCP/OSEP, SANS FOR500/FOR508 и др. • Книги: Windows Internals, Practical Malware Analysis, The Art of Memory Forensics, Blue Team Handbook и др. • Логи и схемы: Event IDs (Sysmon, Microsoft Defender, Azure SigninLogs, AADSTS), Kerberos/NTLM-атаки, DKIM/DMARC/SPF. • Лабы и инструменты: GOAD, BadZure, AzureGoat, Wazuh, Security Onion, Splunk, Elastic, Ansible, Malice, OpenCanary и др.

  3. Важные детали и нюансы • Большинство списков обновляются автоматически (TLD, ASN, TOR, hijacklibs, loldrivers, GeoIP). • Есть пометка «New» у MCP Registry в навигации GitHub. • Дублирование ссылок и пунктов меню (AI CODE CREATION, GitHub Copilot и т.д.) — признак навигационного меню. • Ссылки на платные/бесплатные курсы и лабы с указанием авторов (@0gtweet, @DebugPrivilege, @chrissanders88 и др.). • Конкретные имена файлов CSV и прямые ссылки на raw-файлы списков.

  4. Практические выводы/следующие шаги • Импортировать закладки: «⭐ Bookmarks with all my lists to import in your browser (updated automatically)». • Подписаться на обновления репозитория awesome-lists. • Использовать списки для корреляции в SIEM/EDR (Sigma, YARA, KQL, Splunk). • Проходить лабы и курсы в порядке: основы → продвинутый threat hunting → malware analysis → red team. • Регулярно проверять обновления LOLDrivers, hijacklibs, ransomware lists.

Мои мысли