За основу был взят проект RE&CT. Мы вдохновлялись идеями авторов этого проекта, однако проект ERM&CK разрабатывается с иным взглядом на архитектуру и кейсы применения. Кодовая база практически полностью переписана. Действия реагирования в большей своей массе взяты из RE&CT без изменений.

Основным отличием и нововведением проекта ERM&CK относительно RE&CT является детализация действий реагирования. Мы планируем собирать конкретные реализации действий реагирования для того чтобы при возникновении инцидента, у пользователя были конкретные инструкции к действию, а не абстрактные рекомендации. Наш подход предполагает, что все конкретные инструкции будут описаны в рамках единой базы знаний и провалидированы участниками сообщества. Таким образом, на выходе получается провалидированная и одобренная сообществом база знаний по реагированию.

1. Предоставить пользователю удобный инструмент для подготовки инфраструктуры к процессам реагирования на компьютерные инциденты.
2. Предоставить пользователю информацию о действиях реагирования для случаев, которые описаны в базе знаний.
3. Автоматизация построения сценариев реагирования, аналитика над данными.

Основной:

• GitHub: https://github.com/Security-Experts-Community/ERMACK

Зеркала:

• Codeberg: https://codeberg.org/Security-Experts-Community/ERMACK
• GitFlic: https://gitflic.ru/project/security-experts-community/ermack

Публичная версия сайта будет создана позднее.

Для запуска локальной версии базы занний или применения скриптов аналитики необходимо скачать репозиторий с GitHub.

Алгоритм:

1. Скачиваем репозиторий
2. Вносим изменения в файл конфигурации (если необходимо)
3. Создаём файл с профилем инфраструктуры (нужно для инстанцирования действий внутри сценариев реагирования)
4. Переходим в корень проекта
5. Создаём виртуальное окружение python -m venv .pyenv
6. Активируем окружение
7. Устанавливаем зависимости pip install -r requirements.txt
8. Запускаем сборку проекта python main.py mkdocs -i -a
9. Переходим в папку с резуьлтатами и запускаем сервер

cd build
python -m mkdocs serve -a 0.0.0.0:8000

10. Переходим по ссылке http://localhost:8000

Для запуска локальной версии базы занний или применения скриптов аналитики необходимо скачать репозиторий с GitHub.

Алгоритм:

1. Скачиваем репозиторий

2. Вносим изменения в файл конфигурации

3. Создаём файл с профилем инфраструктуры

4. Переходим в корень проекта

5. Создаём Docker-образ docker build -t sec/ermack .

6. Запускаем контейнер из собранного образа docker run --rm -it -p 8000:8000 sec/ermack

7. Переходим по ссылке http://localhost:8000