ERM&CK - фреймворк и база знаний для описания реагирования на компьютерные инциденты.

Ознакомиться с публичной версией базы знаний можно по ссылке: Публичный билд ERM&CK
Процесс запуска локальной копии подробно описан в файле INSTALLATION.md

За основу был взят проект RE&CT. Мы вдохновлялись идеями авторов этого проекта, однако проект ERM&CK разрабатывается с иным взглядом на архитектуру и кейсы применения. Кодовая база практически полностью переписана. Абстрактные действия реагирования в большей своей массе взяты из RE&CT без изменений.

1. Расширенная модель данных 📝

   Каждое действие реагирования в нашей системе способно содержать не только общее описание, но и конкретные реализации для разного ПО. Это могут быть, четкие инструкции, скрипты, настройки или рекомендации, которые могут быть применимы в случае возникновения реальных инцидентов.

   Такой подход дает значительное преимущество - когда возникает инцидент, пользователь может обратиться к базе знаний ERM&CK и найти не только абстрактные рекомендации, но и точное руководство, адаптированное под конкретный тип инцидента, где шаг за шагом будет объяснено, что делать в данной ситуации. Это устраняет неопределенность и позволяет действовать с уверенностью, основанной на проверенных практиках и знаниях всего сообщества.

2. Сообщество и валидация знаний 🤝

   Мы предлагаем подход, при котором конкретные реализации действий реагирования могут быть провалидированы и одобрены участниками сообщества. Это обеспечивает высокую достоверность и актуальность инструкций. Участники могут предложить свои решения, способствуя накоплению опыта и лучших практик в сфере реагирования.

3. Удобный инструментарий 🛠️

   ERM&CK стремится создать удобное и понятное в использовании окружение для подготовки к процессам реагирования на инциденты. С конкретными реализациями действий реагирования и сценариев, специалисты смогут быстро ориентироваться в процессе и действовать более эффективно.

4. Автоматизация и аналитика 📊

   ERM&CK - является не только базой знаний, но и фреймворком для описания этих знаний. Благодаря формальному описанию и стуктурированию информации мы планируем автоматизировать создание сценариев реагирования. А благодаря аналитике данных давать рекомендации по улучшению поцессов реагирования.

ERM&CK ориентирован на практическую применимость и сотрудничество с сообществом для непрерывного улучшения базы знаний и инструментов.

Проект ERM&CK ставит перед собой ряд важных целей, достижение которых улучшит эффективность и практичность процессов реагирования на инциденты:

1. Подготовка инфраструктуры для процессов реагирования ⚙️

   Поскольку подготовка инфраструктуры к процессам реагирования на инциденты является важным фактором быстрого и успешного устранения угрозы, мы стремимся предоставить пользователям удобный инструментарий для анализа и подготовки своей инфраструктуры.

2. Предоставление информации о действиях реагирования 📚

   Одной из ключевых целей является предоставление пользователям наиболее конкретной и полезной информации о действиях реагирования для различных инцидентов. Мы создаем и поддерживаем базу знаний с конкретными реализациями действий реагирования, что позволяет пользователям получать точные инструкции для выбранного случая.

3. Автоматизация построения сценариев реагирования 🤖

   Благодаря детальной проработке модели и семантических связей между сущностями, мы стремимся выявлять причинно-следственные связи в сценариях реагирования. В дальнейшем это позволит автоматизированно создавать сценарии реагирования и адаптировать план действий даже для тех ситуаций, которые не учтены в базе знаний.

Основной:

• GitHub: https://github.com/Security-Experts-Community/ERMACK

Зеркала:

• Codeberg: https://codeberg.org/Security-Experts-Community/ERMACK
• GitFlic: https://gitflic.ru/project/security-experts-community/ermack

Для того, чтобы внести свой вклад в проект, ознакомьтесь с CONTRIBUTION.md. В данном файле вы найдете подробную информацию о процессе внесения изменений, добавления новых действий реагирования или сценариев, а также об их разработке. Пожалуйста, внимательно прочтите этот файл, чтобы быть в курсе всех рекомендаций и правил.

Проект ERM&CK приветствует активное участие и вклад со стороны сообщества. Ваш вклад может варьироваться от добавления или перевода новых действий реагирования и сценариев до улучшения существующей документации и функциональности. Любой вклад является очень ценным для нас и способствует развитию всего проекта!

Если у вас возникли идеи, вопросы или требуется дополнительная помощь, не стесняйтесь обращаться к участникам сообщества через наше группу в Telegram.