文章总结： 本文是一份蓝队攻防对抗资源清单，系统整理了网络安全蓝队方向的开源工具与资源，涵盖自动化工具、云平台安全、蜜罐、EDR/SIEM、威胁狩猎等20余个领域。每个分类下列举具体工具并附功能说明，适合蓝队入门学习者及安全运营人员参考使用。 综合评分： 75 文章分类： 安全建设,安全工具,安全运营,威胁情报,漏洞分析

【蓝队攻防对抗必备】从威胁狩猎到事件响应一站式资源汇总(蓝队清单，涵盖SIEM/EDR/蜜罐等20+领域)

原创

0xSecDebug 0xSecDebug

0xSecDebug

2026年2月9日 14:14 陕西

Awesome Cybersecurity Blue Team

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

项目地址在文章底部哦

攻防对抗 · 蓝队清单，中文版

非常感谢原作者的整理，对于我这个蓝队的入门学习者来说，帮助非常大。也希望自己的一点点工作能帮助到你，一起来玩吧！

在网络安全蓝队方向的一些很酷的资源、工具和一些小玩意～

网络安全·蓝队，是由一群能够识别信息技术系统中安全缺陷的人组成。他们能够验证安全防护措施的有效性，并且能持续监控系统并确保已采用的安全防御措施。

🚀在线文档请查看：https://blue.y1ng.org

🧾目录

• 自动化工具

• 零碎的

• 代码库和绑定

• 安全编排自动化与响应

• 云平台安全

• 通讯安全

• DevSecOps

• 应用或二进制加固

• 模糊测试

• 策略执行

• 蜜罐

• Tarpits

• 主机防护工具

• 沙箱

• 事件响应工具

• 事件响应管理平台

• 事件证据搜集（取证）

• 网络外围防御

• 防火墙设备或发行版

• 操作系统发行版

• 网络钓鱼意识和报告

• 攻防演练

• 安全监控

• 端点防护及响应（EDR）

• 网络安全监控（NSM）

• 安全信息和事件管理（SIEM）

• 服务和性能监控

• 威胁狩猎

• 威胁情报

• Tor Onion服务防护

• 传输层防护

• 基于macOS的防护

• 基于Windows的防护

• License

• References

自动化工具

零碎的

• Ansible Lockdown – 以信息安全为主题的Ansible（运维工具）规则集合。经过精心地审核，并且维护积极
• Clevis – 对于自动解密的可插入式工具，经常被用做Tang客户端
• DShell – 用Python编写网络取证分析框架，支持扩展，可快速开发插件来分析捕获的网络数据包
• Dev-Sec.io – 服务器增强框架，提供各种基准安全配置的Ansible，Chef和Puppet实现
• peepdf – 支持脚本编写的PDF文件分析器

代码库和绑定

• MultiScanner – 使用Python编写的文件分析框架，支持自动运行相关的工具，汇总输出帮助评估一组带分析的文件

• Posh-VirusTotal – 可与VirusTotal.com的API进行交互的PowerShell接口

• censys-python – 对Censys REST API的Python轻量级封装

• libcrafter – 一个c++的高级库，用于创建和解码网络数据包

• python-dshield

• 连接SANS ISC/DShiel API的Python接口

• 补充：SANS ISC是一个全球性的安全事件响应组织，为所有的Internet用户和组织提供免费的互联网攻击分析和预警服务

• python-sandboxapi – 用于构建恶意软件沙箱集成的最小型、并且长期有效的的Python API

• python-stix2

• 用于序列化和反序列化STIX（JSON形式）的Python API，以及一些用于常见任务的高级API

• 补充：STIX是用来交换威胁情报的一种语言和序列化格式，由MITRE联合DHS（美国国土安全部）发布

安全编排自动化与响应

SOAR, Security Orchestration, Automation and Response, 安全编排自动化与响应。

另行查阅Security Information and Event Management (SIEM)和IR management consoles.

• Shuffle – 用于IT专家和蓝队成员的图形化工作流（自动化）生成器

云平台安全

另请参阅：asecure.cloud/tools.

• Checkov

• 对于Terraform（在DevOps实践中，代码即基础设施概念）的静态分析器。可以帮助检测CIS策略违规行为，并防止云安全策略配置错误

• 补充：Terraform是一种安全有效地构建、更改和版本控制基础设施的工具(基础架构自动化的编排工具)[1]

• 补充：CIS基准是安全配置系统的配置基线和最佳做法[2]

• Falco – 行为活动监视器，旨在通过审核Linux内核和运行时数据（例如Kubernetes指标）进行拓展和丰富，以检测容器化的应用程序，以及主机和网络数据包流中的异常活动

• Istio – 提供统一的方式的开放平台，可以集成微服务，管理跨微服务的流量，执行策略和汇总遥测数据

• Kata Containers – 使用轻量级虚拟机来保护容器的运行时，这些虚拟机的情况和性能类似于容器，但是使用硬件虚拟化技术作为第二层防御，可以提供更强的工作负载隔离

• Managed Kubernetes Inspection Tool (MKIT) – 可提供查询和验证托管Kubernetes群集对象以及群集内运行的工作负载/资源的几种与安全性相关的常见设置

• Prowler – 基于AWS-CLI命令的工具，用于Amazon Web Services帐户安全性评估和增强

• Scout Suite

• 开源的多云安全审核工具，可用于评估云环境的安全状态

• 补充：Muticloud，多云，是指在单个异构架构中使用多个云计算和存储服务

• gVisor – 用Go编写的应用程序内核，它实现Linux系统表面的很大一部分，用以在应用程序和主机内核之间提供隔离边界

通讯安全

COMSEC, Communications Security, 通讯安全

• GPG Sync – 用于在组织和团队中进行自动化OpenPGP公钥集成和分发。

DevSecOps

另请参阅：awesome-devsecops

补充：DevOps旨在加强开发人员，IT运营和安全性之间的关系。

• BlackBox – 通过GnuPG技术安全地保存Git/Mercurial/Subversion的密钥，该过程可在空闲时进行

• Cilium

• 开源软件，用于透明地保护应用服务和Linux容器化管理平台（e.g. Docker, Kubernetes）之间的网络连接安全

• 透明是指，Cilium 是位于 Linux kernel 与容器编排系统的中间层。向上可以为容器配置网络，向下可以向 Linux 内核生成 BPF 程序来控制容器的安全性和转发行为

• 。。。。。。。

• Egalito – 是一个二进制反编译器，可以完全反汇编、转换和重新生成用于二进制强化和安全性研究的普通Linux二进制文件。

模糊测试（Fuzzing）

另请参阅： Awesome-Fuzzing.

• FuzzBench – 用于根据Google规模的各种实际基准来评估模糊测试器的一项免费服务

策略执行

• OpenPolicyAgent – 用于跨云原生环境进行统一策略控制的一套工具集和框架
• Tang – 用于将数据绑定到网络状态的服务器。只有当客户端位于特定的（安全的）网络上时才向客户端提供数据

蜜罐

另请参阅：awesome-honeypots.

• CanaryTokens

• 可以自承载的Honey Token生成器及报告模版，演示版本可查看：

  CanaryTokens.org

  .

• 补充，Honey Token：对蜜罐概念的一种发展，是一种数字化的实体，使得蜜罐不再局限于硬件设备。任何黑客感兴趣信息的伪造都可成为蜜罐[3]。例如，一串银行卡密码、一个名为“财务报表”的Excel表格等

• Kushtaka – 可持续的多合一蜜罐和honey token编排器，用于资源不丰富的蓝队

Tarpits

补充：Tarpit(Tar pit, 焦油坑)概念为低于计算器蠕虫而生。核心思路是：对于网络攻击（例如扫描器和密码爆破工具）来说，如果其总共消耗的时间过长，那么对于攻击者来说，这些系统的吸引力也会降低。

其实这也是从攻防成本的角度出发，攻防对抗的本质是成本的对抗，利用该类型的蜜罐技术，可以增加攻击者的时间成本，从而丧失行动力。

这种概念类似焦油坑，陷入其中的东西会缓慢地沉入，让对方失去行动力，因此被称为Tarpit(Tar pit, 焦油坑)。

• Endlessh – 一种SSH tarpit，可以缓慢地发送无休止的SSH banner

• 补充，SSH Banner：即SSH警告横幅，在使用SSH进行交互式会话期间，登录前SSH警告横幅会显示在密码提示之前[4]，一些法律警告和相关条款

• LaBrea – 一种响应ARP请求中未使用的IP空间的程序，其伪造机器的外表，非常缓慢地响应其他请求，从而达到减慢扫描程序，蠕虫等速度的目的

📖 项目地址

https://github.com/satan1a/awesome-cybersecurity-blueteam-cn

💻 威胁情报推送群

  如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

 如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用：

    覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SOC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0xSecDebug 0xSecDebug 0xSecDebug《【蓝队攻防对抗必备】从威胁狩猎到事件响应一站式资源汇总(蓝队清单，涵盖SIEM/EDR/蜜罐等20+领域)》