Handige scripts om controles en antwoorden/responsen te automatiseren
Je hoeft niet te kunnen programmeren. Zie het als bakken: volg het recept precies en de taart (nou, het script) doet zijn werk.
Waar je je scripts plaatst
Je wilt al je aangepaste scripts op één veilige, voorspelbare plek hebben. Zo regel je dat.
- Open Terminal: Op je server (Linux), open een terminalvenster.
- Maak de
scripts
map. Hier komen je scripts:
sudo mkdir -p /opt/siem/scripts
- Ga naar die map
cd /opt/siem/scripts
- Vergrendel het (alleen admingebruikers mogen hierbij)
sudo chmod 700 /opt/siem/scripts
Een apparaat van het netwerk afsluiten
Wat het doet: Als een telefoon of laptop op het netwerk verdacht gedrag vertoont—misschien tekenen van spyware of tracking—kun je het direct afsluiten met dit script.
Waarom het belangrijk is: Snel reageren is cruciaal. Dit blokkeert een apparaat om iets naar internet te sturen.
Stap-voor-stap om het te maken
- Nog steeds in
/opt/siem/scripts
, maak het scriptbestand:
sudo nano quarantine_device.sh
- Plak dit:
#!/bin/bash
echo "Verbinding verbreken met $1..."
sudo iptables -A OUTPUT -s $1 -j DROP
- Opslaan en afsluiten:
- Druk
Ctrl + O
, danEnter
- Druk
Ctrl + X
- Maak het uitvoerbaar:
sudo chmod +x quarantine_device.sh
Gebruik
Als het verdachte apparaat IP 192.168.1.50
heeft:
sudo /opt/siem/scripts/quarantine_device.sh 192.168.1.50
Het komt niet meer langs de poort.
Zoeken naar verdachte zaken in Wazuh-logs
Wat het doet: Doorzoekt logs van je Wazuh-agent en haalt alles eruit gemarkeerd als “verdacht”.
Waarom het belangrijk is: Ruwelogs lezen is pijnlijk. Dit geeft je een beknopt bestand met alleen de waarschuwingen.
Stap-voor-stap
- Maak het bestand:
sudo nano parse_logs.sh
- Plak dit:
#!/bin/bash
mkdir -p /opt/siem/alerts
journalctl -u wazuh-agent | grep -i suspicious > /opt/siem/alerts/suspicious.log
Opslaan en afsluiten (
Ctrl + O
,Enter
,Ctrl + X
)Maak het uitvoerbaar:
sudo chmod +x parse_logs.sh
Automatiseer elk uur
crontab -e
Onderaan, voeg toe:
0 * * * * /opt/siem/scripts/parse_logs.sh
Nu controleert het elk uur de logs en bewaart alarmerende zaken in:
/opt/siem/alerts/suspicious.log
Versleutel de resultaten (optioneel, maar aanbevolen)
Zorg dat alleen vertrouwde personen het kunnen lezen:
gpg -c /opt/siem/alerts/suspicious.log
Kies een sterk wachtwoord, bewaar het veilig.
Uitvoeren op Android via Termux
Gebruikt wanneer een overlever een Android-apparaat heeft en je nuttige aanwijzingen wilt verzamelen.
Op je server (waar anderen het kunnen downloaden):
- Maak het bestand:
sudo nano /opt/siem/scripts/setup_android.sh
- Plak dit:
#!/data/data/com.termux/files/usr/bin/bash
echo "Android-aanwijzingen verzamelen..."
mkdir -p ~/ipa_siem_logs
pm list packages -f > ~/ipa_siem_logs/apps.txt
settings get global http_proxy > ~/ipa_siem_logs/proxy.txt
cat /data/misc/wifi/wpa_supplicant.conf > ~/ipa_siem_logs/wifi.txt 2>/dev/null
logcat -d > ~/ipa_siem_logs/logcat.txt
echo "✅ Klaar. Bestanden opgeslagen in ~/ipa_siem_logs/"
- Maak het uitvoerbaar:
chmod +x /opt/siem/scripts/setup_android.sh
Host het voor download:
Vanuit /opt/siem/scripts
:
python3 -m http.server 8000
Op het Android-apparaat (in Termux):
pkg update && pkg install curl
curl -s http://192.168.1.10:8000/setup_android.sh | bash
Logs ophalen van jailbroken iPhone
Vereist:
- iPhone met OpenSSH geïnstalleerd via Cydia
- Je kent het IP-adres van de iPhone op het lokale Wi-Fi
Op de server
sudo nano /opt/siem/scripts/pull_ios_logs.sh
Plak dit:
#!/bin/bash
IP=$1
USER=mobile
DATE=$(date +"%Y-%m-%d_%H-%M")
mkdir -p /opt/siem/ios_logs/$DATE
scp -r ${USER}@${IP}:/var/mobile/Library/Logs/CrashReporter /opt/siem/ios_logs/$DATE/
scp ${USER}@${IP}:/var/log/syslog /opt/siem/ios_logs/$DATE/
echo "iPhone-logs opgeslagen in /opt/siem/ios_logs/$DATE"
Maak het uitvoerbaar:
chmod +x /opt/siem/scripts/pull_ios_logs.sh
Voer het zo uit:
/opt/siem/scripts/pull_ios_logs.sh 192.168.1.23
Spyware-woorden zoeken in logs
sudo nano /opt/siem/scripts/watch_logs.sh
Plak dit:
#!/bin/bash
LOGDIR="/opt/siem/ios_logs"
ALERTS="/opt/siem/alerts"
mkdir -p $ALERTS
grep -rEi "spy|track|mirror|record|stalker|surveil|remote access" $LOGDIR > $ALERTS/suspicious.log
echo "Verdachte termen gevonden. Controleer $ALERTS/suspicious.log"
Maak het uitvoerbaar:
chmod +x /opt/siem/scripts/watch_logs.sh
Bestanden verzamelen van USB-sticks
sudo nano /opt/siem/scripts/usb_intake.sh
Plak dit:
#!/bin/bash
MOUNT="/media/usb"
DEST="/opt/siem/manual_uploads/$(date +%F_%H%M)"
mkdir -p $DEST
cp -r $MOUNT/* $DEST
echo "Bestanden gekopieerd naar $DEST"
Maak het uitvoerbaar:
chmod +x /opt/siem/scripts/usb_intake.sh
Alles uitvoeren
sudo nano /opt/siem/scripts/full_check.sh
Plak dit:
#!/bin/bash
/opt/siem/scripts/usb_intake.sh
/opt/siem/scripts/watch_logs.sh
Maak het uitvoerbaar:
chmod +x /opt/siem/scripts/full_check.sh