RedEye - RedEyeは、Red & Blue Teamのオペレーションをサポートするビジュアル分析ツールです。

(RedEye is a visual analytic tool supporting Red & Blue Team operations)

Created at: 2022-10-03 23:07:24
Language: TypeScript
License: BSD-3-Clause

赤目

レッドチームC2ログの視覚化

レッドアイのスクリーンショット

RedEyeは、CISAとDOEの太平洋岸北西部国立研究所が開発したオープンソースの分析ツールで、レッドチームが指揮統制活動を視覚化および報告するのを支援します。GitHub で 2022 年 10 月にリリースされたこのツールを使用すると、オペレーターは複雑なデータを評価および表示し、軽減戦略を評価し、レッドチームの評価に応じて効果的な意思決定を行うことができます。このツールは、Cobalt Strike などのログを解析し、簡単に理解できる形式でデータを表示します。その後、ユーザーはツール内に表示されるアクティビティにタグを付け、コメントを追加できます。オペレーターは、RedEyeのプレゼンテーションモードを使用して、調査結果とワークフローを利害関係者に提示できます。

RedEyeは、オペレータが効率的に次のことを行うのを支援できます。

  • レッドチームの評価活動を、数千行のログテキストを手動で流し込むのではなく、発生時に再生してデモンストレーションします。
  • 複雑な評価データを表示および評価して、効果的な意思決定を可能にします。
  • レッドチームの評価または侵入テスト中に取られた攻撃パスと侵害されたホストをより明確に理解できます。

ユーザーガイド

クイックスタート

起動して実行する最速の方法は、GitHub の [リリース] セクションでオペレーティングシステム用の最新のバイナリをダウンロードすることです。

RedEye

RedEyeは現在、コバルトストライクログのアップロードをサポートしており、レッドチームモードとブルーチームモードの両方を提供しています。

  • レッドチームモードでは、キャンペーンログのアップロード、探索、プレゼンテーションの作成を行うことができます。このモードは、環境変数または引数を指定して RedEye を実行することによって開始されます。
    SERVER_BLUE_TEAM=false
    --redTeam
  • Blue Team モードでは、Red Team によってエクスポートされた読み取り専用キャンペーンを確認できます。このモードはデフォルトで実行されます。

注: 赤チーム・モードと青チーム・モードは両方とも、同じアプリケーション・バイナリーから開始できます。

RedEye

ブルーチーム

Blue Team バージョンは、アプリケーションバイナリをダブルクリックして実行できます。

RedEye

RedEye
でデフォルトで実行され、デフォルトのブラウザが自動的に開きます。
http://127.0.0.1:4000

フォルダがアプリケーションと同じディレクトリにある場合、RedEyeはその中のキャンペーンファイルのインポートを試みます。キャンペーンファイルは「レッドチーム」バージョンでエクスポートできます。

campaigns
RedEye
.redeye

Blue Team のバージョンを準備するには、次の 2 つの手順に従います。

  1. アプリケーションバイナリを空のフォルダにコピーします。
    RedEye
  2. 同じディレクトリにフォルダを作成し、送信するキャンペーンファイルを内部に配置します。
    campaigns
    .redeye

レッドチーム

レッドチームバージョンには2つの部分があります。

  • アプリケーションバイナリと
    RedEye
  • Cobalt ストライクログパーサーバイナリを含むフォルダ。
    parsers
    cs-parser

RedEye を実行するには、次の 2 つのオプションがあります。

  1. ダウンロードしたバイナリを実行します: 。
    AUTHENTICATION_PASSWORD=<your_password> ./RedEye --redTeam
  2. このリポジトリを複製し、次のいずれかを実行します。
    1. ドッカー作曲:
      1. 'docker-compose.yml' の環境変数を更新します。
      2. 実行: 'docker-compose -f docker-compose.yml up -d redeye-core'.
    2. プロジェクトを直接インストールして実行します(「ローカルビルド」セクションで説明します)。

アプリケーションはデフォルトで で実行されます。

http://127.0.0.1:4000

プラットフォームのサポート

  • リナックス
    • Ubuntu 18 以降
    • Kali Linux 2020.1 以降
    • 他のものはサポートされているかもしれませんが、テストされていません
  • マックOS
    • エルキャピタンとそれ以降
  • ウィンドウズ
    • ウィンドウズ 7 以降

ARMのサポートは実験的です

注意: Macユーザーの場合、最初にRedEyeアプリケーション(およびRed Teamバージョンを使用している場合はcsパーサー)を実行するときに、「システム環境設定」に移動し、「セキュリティとプライバシー」に移動して「とにかく開く」をクリックする必要があります。

ローカルビルド

必要なパッケージ

  • ノード.js >= v16

  • 糸をインストールする:

    npm install -g yarn

  • 実行: // すべてのパッケージをインストールします

    yarn install

  • 次のいずれかを実行します。

    1. yarn release:all
      Linux、macOS、および Windows 用のバイナリを構築するには
    2. yarn release --platform (mac|win|linux)
      特定のプラットフォーム用にビルドします。
    • プラットフォームオプション:
      • マック
      • 勝つ
      • リナックス

発達

セットアップ

  • 糸をインストールする:
    npm install -g yarn
  • 実行: // すべてのパッケージをインストールします
    yarn install

クイックスタート開発

プロジェクトを開発モードで実行します。

yarn run start

高度な開発

サーバーとクライアントを 2 つの別々の端末で実行することをお勧めします。

yarn run start:client
yarn run start:server

建てる

yarn build:all
すべてのアプリケーションとその依存ライブラリを構築するには

サーバー .env の例

AUTHENTICATION_PASSWORD=937038570
AUTHENTICATION_SECRET=supertopsecretdonttellanyone
DATABASE_MODE=DEV_PERSIST
SERVER_BLUE_TEAM=false
SERVER_PRODUCTION=false

CISAロゴ レッドアイロゴ