/ERMACK

Enterprise Response Model & Common Knowledge

Primary LanguagePythonMIT LicenseMIT

ERM&CK - Enterprise Response Model & Common Knowledge

Введение

За основу был взят проект RE&CT. Мы вдохновлялись идеями авторов этого проекта, однако проект ERM&CK разрабатывается с иным взглядом на архитектуру и кейсы применения. Кодовая база практически полностью переписана. Абстрактные действия реагирования в большей своей массе взяты из RE&CT без изменений.

Основным отличием и нововведением проекта ERM&CK относительно RE&CT является расширение модели данных, благодаря чему мы можем более детально описывать реагирование на инциденты ИБ. Мы планируем собирать конкретные реализации действий реагирования для того чтобы при возникновении инцидента, у пользователя были конкретные инструкции к действию, а не абстрактные рекомендации. Наш подход предполагает, что все конкретные инструкции будут описаны в рамках единой базы знаний и провалидированы участниками сообщества. Таким образом, на выходе получается провалидированная и одобренная сообществом база знаний по реагированию.

Основные цели проекта:

  1. Предоставить пользователю удобный инструмент для подготовки инфраструктуры к процессам реагирования на компьютерные инциденты.
  2. Предоставить пользователю информацию о действиях реагирования для случаев, которые описаны в базе знаний.
  3. Автоматизация построения сценариев реагирования, аналитика над данными.

Репозитории проекта

Основной:

Зеркала:

Использование базы знаний

Поиск по публичной версии сайта

На GitHub Pages доступна публичная сборка ветки develop:
https://security-experts-community.github.io/ERMACK/

Запуск локальной копии базы знаний в виртуальном окружении Python

Для запуска локальной версии базы занний или применения скриптов аналитики необходимо скачать репозиторий с GitHub.

Алгоритм:

  1. Скачиваем репозиторий
  2. Вносим изменения в файл конфигурации (если необходимо)
  3. Создаём файл с профилем инфраструктуры (нужно для инстанцирования действий внутри сценариев реагирования)
  4. Переходим в корень проекта
  5. Создаём виртуальное окружение python -m venv .pyenv
  6. Активируем окружение
  7. Устанавливаем зависимости pip install -r requirements.txt
  8. Запускаем сборку проекта python main.py mkdocs -i -a
  9. Переходим в папку с резуьлтатами и запускаем сервер
cd build
python -m mkdocs serve -a 0.0.0.0:8000
  1. Переходим по ссылке http://localhost:8000

Запуск локальной копии базы знаний в Docker

Для запуска локальной версии базы занний или применения скриптов аналитики необходимо скачать репозиторий с GitHub.

Алгоритм:

  1. Скачиваем репозиторий

  2. Редактируем или создаём файл с профилем инфраструктуры

  3. Переходим в корень проекта

  4. Запускаем контейнер docker compose up

  5. Переходим по ссылке http://localhost:8000