• 我们在哪一颗星上见过 ,以至如此相互思念 ;我们在哪一颗星上相互思念过,以至如此相互深爱
  • 我们在哪一颗星上分别 ,以至如此相互辉映 ;我们在哪一颗星上入睡 ,以至如此唤醒黎明
  • 认识世界 克服困难 洞悉所有 贴近生活 寻找珍爱 感受彼此

opencti

软件操作 云涯 12个月前 (04-08) 991次浏览

基础软件

Redis server
minio ip:9090
rabbitmqctl ip:15672
elasticsearch 7.17.1   Kibana server ip:5601

 

安装

https://filigran.notion.site/Manual-deployment-b911beba44234f179841582ab3894bb1

NodeJS ≥ 16 https://nodejs.org/en/download
Python ≥ 3.9 https://www.python.org/downloads
ElasticSearch or OpenSearch  ≥ 8.X (ElasticSearch) or ≥ 2.X.X (OpenSearch) https://www.elastic.co/downloads/elasticsearch
MinIO ≥ RELEASE.2022-03-* https://min.io/download
Redis ≥ 7.0 https://redis.io/download
RabbitMQ ≥ 3.9 https://www.rabbitmq.com/download.html
RabbitMQ Management plugin  ≥ 3.9 https://www.rabbitmq.com/management.html

python3.9

sudo apt update

sudo apt install software-properties-common

将Deadsnakes PPA添加到系统的来源列表中:  sudo add-apt-repository ppa:deadsnakes/ppa

sudo apt install python3.9

python3.9 –version

nodejs

curl -sL https://deb.nodesource.com/setup_16.x | sudo -E bash –

sudo apt-get install nodejs

nodejs -v

Elasticsearch 8.X

Import the Elasticsearch PGP key: 

wget -qO – https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add –

Save the repository definition to  /etc/apt/sources.list.d/elastic-8.x.list:
echo “deb https://artifacts.elastic.co/packages/8.x/apt stable main” | sudo tee -a /etc/apt/sources.list.d/elastic-8.x.list

Update the package database: 

sudo apt-get update

 

Install Elasticsearch:

sudo apt-get install elasticsearch

Start the Elasticsearch service:

sudo systemctl enable elasticsearch.service

sudo systemctl start elasticsearch

Enable Elasticsearch to start automatically at boot time:

sudo systemctl enable elasticsearch

Verify the installation by checking the Elasticsearch version:

curl -X GET “localhost:9200/”

You should see output similar to this:

{ “name” : “your_node_name”, “cluster_name” : “elasticsearch”, “cluster_uuid” : “random_uuid”, “version” : { “number” : “8.x.x”, “build_flavor” : “default”, “build_type” : “deb”, “build_hash” : “random_hash”, “build_date” : “2021-mm-ddT00:00:00.000000Z”, “build_snapshot” : false, “lucene_version” : “8.x.x”, “minimum_wire_compatibility_version” : “8.0.0”, “minimum_index_compatibility_version” : “8.0.0” }, “tagline” : “You Know, for Search” }

That’s it! You now have Elasticsearch 8.x installed and running on your Ubuntu 18.04 system.

MinIO

wget https://dl.min.io/server/minio/release/linux-amd64/minio

chmod +x minio

sudo mv minio /usr/local/bin/

sudo mkdir /data

sudo vi /etc/systemd/system/minio.service

[Unit]
Description=MinIO
Documentation=https://docs.min.io

[Service]
User=minio-user
ExecStart=/usr/local/bin/minio server /data
Restart=on-failure

[Install]
WantedBy=multi-user.target

sudo systemctl daemon-reload

sudo systemctl start minio

sudo systemctl enable minio

minioadmin” and “minioadmin”

 

配置

minio

/etc/default/minio  是minio启动配置 需配置IP地址

opencti

opencti/config/production.json  配置opencti

 

 

连接器

 

IP地址

abuseipdb

https://www.abuseipdb.com/

ipinfo

https://ipinfo.io/

shodan

https://www.shodan.io/dashboard

GreyNoise

GreyNoise 帮助分析师识别不值得他们关注的事件。GreyNoise 中的指标可能与机会性互联网扫描或常见业务服务有关,而不是与目标威胁有关。这种背景有助于分析师专注于最重要的事情。

https://www.greynoise.io/

 

ULR

URLhaus by Abuse.ch

URLhaus 是来自 abuse.ch 的一个项目,其目标是共享用于恶意软件分发的恶意 URL。

https://urlhaus.abuse.ch/

 

漏洞信息

CVE Database

Vulnmatch

Vulmatch 是一款应用程序,可让您查看已披露的漏洞,并在您使用的产品中发现漏洞时提供警报机制

Vulmatch 通过 TAXII 2.1 服务器提供数据。

https://www.vulmatch.com/

 

威胁情报社区

AlienVault

开放的威胁情报社区

https://otx.alienvault.com/

CrowdStrike

https://www.crowdstrike.com/

Cryptolaemus

https://paste.cryptolaemus.com/

Cyber Threat Coalition

https://www.cyberthreatalliance.org/

Cybercrime Tracker

网络犯罪

https://cybercrime-tracker.net/

Gatewatcher LastInfoSec

https://www.gatewatcher.com/en/our-solutions/lastinfosec/

Kaspersky

https://usa.kaspersky.com/

Malpedia

https://malpedia.caad.fkie.fraunhofer.de/

Mandiant

https://www.mandiant.com/

RiskIQ

https://www.riskiq.com/

Sekoia

https://www.sekoia.io/en/homepage/

ThreatMatch

https://www.secalliance.com/threat-intelligence-portal

 

威胁狩猎

Virustotal Livehunt Notifications

 

安全框架

AM!TT

https://github.com/cogsec-collaborative/AMITT

MITRE ATT&CK

https://attack.mitre.org/

 

沙箱

CAPE Sandbox

https://capesandbox.com/

Cuckoo Sandbox

https://cuckoosandbox.org/

Hatching Triage Sandbox

https://tria.ge/

Hybrid Analysis Sandbox

https://www.hybrid-analysis.com/

Intezer Sandbox

https://analyze.intezer.com/

UnpacMe

https://www.unpac.me/#/

UNPACME 是一种自动恶意软件解包服务。使用一组自定义解包和工件提取过程分析向 UNPACME 提交的内容。这些过程从提交中提取所有加密或打包的有效负载,并将一组唯一的有效负载返回给用户。简而言之,UNPACME 自动执行恶意软件分析过程的第一步。

VirusTotal

https://www.virustotal.com/gui/home/search

 

恶意软件数据库

MalwareBazaar Recent Additions

https://bazaar.abuse.ch/

VX Vault

http://vxvault.net/ViriList.php

 

文件存储

Files restore

此连接器允许组织从特定文件夹恢复其 OpenCTI 数据

Files backup

此连接器允许组织使用其 OpenCTI 数据并将其写入特定文件夹。

 

文件导入

ImportDocument

此连接器允许组织将信息从文档馈送到 OpenCTI。

此连接器提取文档文件中的信息,然后将其与来自 OpenCTI 知识库或新 Observables 的实体的正则表达式进行匹配。

ImportFileStix

此连接器能够导入包含STIX1或STIX2数据的JSON/XML文件。
上载到平台中的文件的扩展名必须为.json,以便连接器处理它。

 

文件导出

ExportFileCsv

CSV格式导出数据

ExportFileStix

stix格式导出数据

ExportFileTxt

txt格式导出数据

ExportReportPdf

pdf格式导出数据

 

威胁情报管理

MISP

https://www.misp-project.org/

Obstracts

威胁情报团队的 RSS 阅读器

https://www.obstracts.com/

OpenCTI datasets

其他opencti数据

TheHive

一个可扩展、开源且免费的安全事件响应平台,与 MISP(恶意软件信息共享平台)紧密集成,旨在让 SOC、CSIRT、CERT 和任何处理需要调查和采取行动的安全事件的信息安全从业人员的生活更轻松迅速。

https://thehive-project.org/

CORTEX Analyzer

Cortex试图解决 SOC、CSIRT 和安全研究人员在威胁情报、数字取证和事件响应过程中经常遇到的一个常见问题:如何通过查询单个工具而不是多个工具来大规模分析他们收集的可观察数据?

Cortex 是一款开源和免费软件,由TheHive Project正是为此目的而创建的。可观察的数据,例如 IP 和电子邮件地址、URL、域名、文件或哈希,可以使用 Web 界面逐一分析或以批量模式分析。借助Cortex REST API, 分析师还可以自动执行这些操作。

 

威胁情报规则

SIEM 规则

Valhalla

Yara规则

https://valhalla.nextron-systems.com/

 

 

数据结构

Stixify

自动化威胁情报分析师,从非结构化数据中提取机器可读情报

https://www.stixify.com/

TAXII2

https://taxiiproject.github.io/about/

通过使用 TAXII,组织可以以安全和自动化的方式共享 STIX 内容

受信任的指标信息自动交换 (TAXII™)是一种免费且开放的传输机制,可标准化网络威胁信息的自动交换。

 

外部工具

Hygiene

这是一个内部扩充连接器,它使用以下外部项目在数据库中查找您可能想要删除/衰减的可观察值,因为已知它们在用于检测时会导致误报

Import ExternalReference

此连接器允许组织将外部参考作为 PDF 文件或 MarkDown 文件导入。

IVRE – Network recon framework

https://ivre.rocks/

IVRE是一个 开源网络侦察框架,它可以轻松构建自托管、完全受控的替代服务,例如 Shodan、ZoomEye、Censys(宽网络扫描)、Greynoise(扫描仪监控)和/或 PassiveDNS。

请参阅IVRE 的网站一些用例以了解有关 IVRE 的更多信息。

Malbeacon

https://www.malbeacon.com/

这是一个可观察的丰富连接器,它使用 Malbeacon API 添加有关攻击者原始网络的信息。

该连接器适用于以下 OpenCTI 可观察类型:

  • ipv4-地址
  • ipv6 地址
  • 域名

Elastic

此连接器允许组织使用 OpenCTI 知识为其 Elastic 平台提供数据。

History

此连接器使用 OpenCTI 流以及实体的写入和历史记录。

Splunk

此连接器允许组织使用 OpenCTI 知识为Splunk KV 存储提供数据。

Tanium

该连接器允许组织使用 OpenCTI 知识为Tanium Intels 提供信息。

此连接器利用 OpenCTI事件流,因此它实时使用知识,并根据其设置,在 Tanium 平台中创建检测和搜索英特尔片段。

ThreatBus

此连接器支持 OpenCTI 和Threat Bus之间的通信,后者是开源安全工具的威胁情报传播层。使用此连接器,您可以将 OpenCTI 威胁情报与检测工具和数据库(如VASTZeekCIF-3 )深度集成。OpenCTI 中的指标更新几乎会立即深入到您的监控工具中,以进行追溯和实时匹配。反之亦然,其他工具生成的匹配(目击)将报告回 OpenCTI 连接器,并显示在Sightings指标 web 视图的选项卡中。

Maltego Transforms Set

借助一组允许您探索 OpenCTI v4 数据的转换,在您的 Maltego 应用程序中使用 OpenCTI 平台。

灾备恢复

数据存储在elasticsearch中,需要将elasticsearch中的nodes数据备份即可

导入时,使用

zip -s0 elasticsearch.z* –out elasticsearch.zip  将分卷的压缩包合并

unzip elasticsearch.zip  解压zip

chmod 755 -R elasticsearch/   将其文件夹和子文件夹赋予权限即可


云涯历险记 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:opencti
喜欢 (2)