关于ARTIFARTIF是一个新的高级实时威胁情报框架,它建立在MISP的基础上,并添加了另一个抽象层,能够根据IP地址和历史数据识别恶意网络流量.除此之外,该工具还可以根据不同因素收集、处理和关联观察结果,从而执行自动分析和威胁评分。功能介绍评分系统:使用威胁元数据丰富IP地址信息,包括威胁评分,可以作为安全团队采取行动的阈值。容器化:该工具使用容器进行部署,部署简单。模块化架构:项目基于插件化,可以通过修改MISP中的威胁源轻松扩展,并可以在线实时更新,不会导致实际服务停止运行。警报:该扩展与Slack无缝集成以提供主动警报。更好的攻击分析和可视化。使用场景威胁检测日志和监控用户配置文件警报自动化工具要求首先,我们需要安装MISP,可以直接从源代码安装,也可以使用预构建的AWS镜像安装。安装完成后,我们需要订阅maxmind来填充IP的元数据。这里我们需要编辑docker-compose.yaml,添加一个子键:maxmind:image:maxmindinc/geoipupdateenvironment:GEOIPUPDATE_ACCOUNT_ID:xxxxxGEOIPUPDATE_LICENSE_KEY:xxxxxxxxxxxxxx工具安装首先,我们需要使用如下命令将项目的源码克隆到本地:gitclonehttps://github.com/CRED-CLUB/ARTIF/然后切换工作目录到ARTIF根目录,构建Docker,启动Docker容器:sudodocker-composebuildsudodocker-composeupinstallMISP,访问MISPDashboard,获取MISP钥匙。然后编辑config.yaml文件,添加MISP_KEY和MISP_URL的值。这里的MISP_KEY是你的MISPkey,MISP_URL是托管MISP的URL地址。下面是一个示例config.yaml,您可以直接将其替换为您对应的值:credentials:MISP_URL:"https://127.0.0.1"MISP_KEY:"qwertyuiopasdfghjk"现在,添加“-s到完整的绝对路径”参数运行以下命令:python3/home/user/ARTIF/ip_rep/feed_ingestor/update_check.py-s再次运行,这次没有“-s”参数:python3/home/user/ARTIF/ip_rep/feed_ingestor/update_check.py接下来,使用Django的内置支持添加一个crontab:python3manage.pycrontabadd从ip_rep目录启动Django服务器:python3manage.pyrunserver这将打开端口8000,用于从IP地址获取元数据:curl127.0.0.1:8000/ip/?ip=x.x.x.x输出类似于以下内容:{"is_IoC":false,"is_Active":false,"metadata":{"asn":"AS165**","country":"XXX","org":"XXX"},"score":80.14671726301682,"description":"XXX","blacklists":"","type":"","historical":false,verdict":"Noactionneeded"}工具使用demo设置并启动Docker容器:EnableARTIF:工具使用示例我们需要使用update_check.py来调用ARTIF:ubuntu@localhost:~/ARTIF/ip_rep/feed_ingestor$python3/home/user/ARTIF/ip_rep/feed_ingestor/update_check.py-husage:update_check.py[-h][-s[S]]-k[KEY]-mMISPIPreputationprogram可选参数:-h,--helpshowthishelpmessageandexit-s[S]Requiredonlyforthefirstrun我们也可以通过运行以下命令查看cron任务:python3manage.pycrontabshow默认配置下,该工具会每24小时检测一次MISP,获取最新的feed许可协议的开发发布该项目遵循MIT开源许可协议。项目地址ARTIF:【GitHub传送门】
