1. TheHive (Olay Müdahale Platformu)
Açık kaynaklıdır.- Olayları yönetmek, analiz etmek ve playbook (müdahale planı) oluşturmak için uygundur.
- Cortex entegrasyonu ile otomatik analiz yapılabilir (virustotal, whois, hash lookup vs.).
2. GRR Rapid Response (Google)
- Aktif sistemlerden canlı adli analiz yapmak için kullanılabilir.
- Uzaktaki istemcilerden dosya, işlem, registry, RAM verisi çekebilir.
- Büyük kurumlar için uygundur.
3. Velociraptor
- Modern bir “endpoint visibility & response” aracıdır.
- RAM analizi, dosya kontrolü, şüpheli davranışlar gibi müdahale işlemleri yapılabilir.
- GRR alternatifi olarak hafif ve daha esnek.
4. KAPE (Kroll Artifact Parser and Extractor)
- Olay müdahale uzmanlarının kullandığı en etkili artefakt toplama aracıdır.
- USB kayıtları, tarayıcı geçmişi, loglar, event kayıtları gibi verileri hızlıca toplar.
- Windows tabanlıdır.
5. OSQuery (Facebook)
- Sistemleri SQL gibi sorgulamak için kullanılır (örn: çalışan işlemleri, açık portlar, servisler).
- IR için hızlı bilgi toplama aracıdır.
6. Sysmon + SIEM
- Sysmon, Windows olaylarını detaylı loglar.
- Elastic (ELK), Wazuh, Splunk gibi sistemlerle entegre edilirse harika analiz yapılabilir.
- Gerçek zamanlı tespit ve alarm sistemleri kurabilirsin.
Alternatif: Wazuh (SIEM)
Bonus: Hepsi Bir Arada Sistemler
| Yazılım | Özellik | Açık Kaynak |
|---|---|---|
| Security Onion | IDS/NSM + SIEM + IR | |
| Arkime (eski adıyla Moloch) | PCAP toplama ve analiz | |
| MISP | Tehdit İstihbarat Paylaşımı | |
Örnek Senaryo: Müdahale Süreci İçin Kombinasyon
- Sysmon ile olayları logla.
- Wazuh / ELK ile analiz ve alarm üret.
- TheHive + Cortex ile müdahale senaryosu oluştur.
- Velociraptor ile uç noktadan detaylı veri çek.
- Gerekirse KAPE ile artefaktları topla ve analiz et.