ERM&CK - фреймворк и база знаний для описания реагирования на компьютерные инциденты.
Ознакомиться с публичной версией базы знаний можно по ссылке: Публичный билд ERM&CK
Процесс запуска локальной копии подробно описан в файле INSTALLATION.md
За основу был взят проект RE&CT. Мы вдохновлялись идеями авторов этого проекта, однако проект ERM&CK разрабатывается с иным взглядом на архитектуру и кейсы применения. Кодовая база практически полностью переписана. Абстрактные действия реагирования в большей своей массе взяты из RE&CT без изменений.
-
Расширенная модель данных 📝
Каждое действие реагирования в нашей системе способно содержать не только общее описание, но и конкретные реализации для разного ПО. Это могут быть, четкие инструкции, скрипты, настройки или рекомендации, которые могут быть применимы в случае возникновения реальных инцидентов.
Такой подход дает значительное преимущество - когда возникает инцидент, пользователь может обратиться к базе знаний ERM&CK и найти не только абстрактные рекомендации, но и точное руководство, адаптированное под конкретный тип инцидента, где шаг за шагом будет объяснено, что делать в данной ситуации. Это устраняет неопределенность и позволяет действовать с уверенностью, основанной на проверенных практиках и знаниях всего сообщества.
-
Сообщество и валидация знаний 🤝
Мы предлагаем подход, при котором конкретные реализации действий реагирования могут быть провалидированы и одобрены участниками сообщества. Это обеспечивает высокую достоверность и актуальность инструкций. Участники могут предложить свои решения, способствуя накоплению опыта и лучших практик в сфере реагирования.
-
Удобный инструментарий 🛠️
ERM&CK стремится создать удобное и понятное в использовании окружение для подготовки к процессам реагирования на инциденты. С конкретными реализациями действий реагирования и сценариев, специалисты смогут быстро ориентироваться в процессе и действовать более эффективно.
-
Автоматизация и аналитика 📊
ERM&CK - является не только базой знаний, но и фреймворком для описания этих знаний. Благодаря формальному описанию и стуктурированию информации мы планируем автоматизировать создание сценариев реагирования. А благодаря аналитике данных давать рекомендации по улучшению поцессов реагирования.
ERM&CK ориентирован на практическую применимость и сотрудничество с сообществом для непрерывного улучшения базы знаний и инструментов.
Проект ERM&CK ставит перед собой ряд важных целей, достижение которых улучшит эффективность и практичность процессов реагирования на инциденты:
-
Подготовка инфраструктуры для процессов реагирования ⚙️
Поскольку подготовка инфраструктуры к процессам реагирования на инциденты является важным фактором быстрого и успешного устранения угрозы, мы стремимся предоставить пользователям удобный инструментарий для анализа и подготовки своей инфраструктуры.
-
Предоставление информации о действиях реагирования 📚
Одной из ключевых целей является предоставление пользователям наиболее конкретной и полезной информации о действиях реагирования для различных инцидентов. Мы создаем и поддерживаем базу знаний с конкретными реализациями действий реагирования, что позволяет пользователям получать точные инструкции для выбранного случая.
-
Автоматизация построения сценариев реагирования 🤖
Благодаря детальной проработке модели и семантических связей между сущностями, мы стремимся выявлять причинно-следственные связи в сценариях реагирования. В дальнейшем это позволит автоматизированно создавать сценарии реагирования и адаптировать план действий даже для тех ситуаций, которые не учтены в базе знаний.
Основной:
Зеркала:
- Codeberg: https://codeberg.org/Security-Experts-Community/ERMACK
- GitFlic: https://gitflic.ru/project/security-experts-community/ermack
Для того, чтобы внести свой вклад в проект, ознакомьтесь с CONTRIBUTION.md. В данном файле вы найдете подробную информацию о процессе внесения изменений, добавления новых действий реагирования или сценариев, а также об их разработке. Пожалуйста, внимательно прочтите этот файл, чтобы быть в курсе всех рекомендаций и правил.
Проект ERM&CK приветствует активное участие и вклад со стороны сообщества. Ваш вклад может варьироваться от добавления или перевода новых действий реагирования и сценариев до улучшения существующей документации и функциональности. Любой вклад является очень ценным для нас и способствует развитию всего проекта!
Если у вас возникли идеи, вопросы или требуется дополнительная помощь, не стесняйтесь обращаться к участникам сообщества через наше группу в Telegram.