ARTIF:一種先進的實時威脅智能識別框架
作者:Alpha_h4ck
ARTIF是一個新型的高級實時威脅智能框架,它基于MISP并添加了另一個抽象層,以實現根據IP地址和歷史數據識別惡意Web流量。
關于ARTIF
ARTIF是一個新型的高級實時威脅智能框架,它基于MISP并添加了另一個抽象層,以實現根據IP地址和歷史數據識別惡意Web流量。除此之外,該工具還可以通過收集、處理和關聯基于不同因素的觀測值來執行自動分析和威脅評分。
功能介紹
- 評分系統:使用威脅元數據豐富IP地址信息,其中包括了威脅評分,這個評分可以作為安全團隊采取行動的閾值。
- 容器化:該工具使用容器進行部署,因此易于部署。
- 模塊化體系結構:該項目基于插件,只需修改MISP中的威脅源即可輕松擴展,而且可以在線實時更新,不會導致實際服務停止運行。
- 警報:擴展功能與Slack無縫集成,可實現主動警報。
- 更好的攻擊分析和可視化效果。
使用場景
- 威脅檢測
- 日志和監控
- 用戶配置文件
- 警報自動化
工具要求
首先,我們需要安裝好MISP,這里可以直接使用源碼安裝,或使用預構建的AWS鏡像。
安裝完成之后,我們需要訂閱maxmind以便為IP填充元數據,這里需要編輯docker-compose.yaml并添加子鍵:
- maxmind:
- image: maxmindinc/geoipupdate
- environment:
- GEOIPUPDATE_ACCOUNT_ID: xxxxx
- GEOIPUPDATE_LICENSE_KEY: xxxxxxxxxxxxxx
工具安裝
首先,我們需要使用下列命令將該項目源碼克隆至本地:
- git clone https://github.com/CRED-CLUB/ARTIF/
然后將工作目錄切換至ARTIF根目錄,構建Docker,并開啟Docker容器:
- sudo docker-compose build
- sudo docker-compose up
安裝MISP,訪問MISP儀表盤并獲取MISP密鑰。然后編輯config.yaml文件,添加MISP_KEY和MISP_URL的值。這里的MISP_KEY就是你的MISP密鑰,MISP_URL即托管MISP的URL地址。
下面給出的是config.yaml樣例,可以直接將其替換成你對應的值:
- credentials:
- MISP_URL: "https://127.0.0.1"
- MISP_KEY: "qwertyuiopasdfghjk"
現在,以完整絕對路徑加“-s”參數運行下列命令:
- python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py -s
再運行一次,這次不加“-s”參數:
- python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py
接下來,使用Django的內置支持添加crontab:
- python3 manage.py crontab add
從ip_rep目錄下啟動Django服務器:
- python3 manage.py runserver
此時將打開端口8000,該端口用于從IP地址獲取元數據:
- curl 127.0.0.1:8000/ip/?ip=x.x.x.x
輸出結果類似如下:
- {"is_IoC": false, "is_Active": false, "metadata": {"asn": "AS165**", "country": "XXX", "org": "XXX"}, "score": 80.14671726301682, "description": "XXX", "blacklists": "", "type": "", "historical":false, verdict": "No action needed"}
工具使用演示
設置并啟動Docker容器:
開啟ARTIF:
工具使用樣例
我們需要使用update_check.py來調用ARTIF:
- ubuntu@localhost:~/ARTIF/ip_rep/feed_ingestor$ python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py -h
- usage: update_check.py [-h] [-s [S]] -k [KEY] -m MISP
- IP reputation program
- optional arguments:
- -h, --help show this help message and exit
- -s [S] Required only for the first run
我們也可以通過運行下列命令來查看cron任務:
- python3 manage.py crontab show
默認配置下,每24小時工具都會檢測一次MISP并獲取最新的feed。
許可證協議
本項目的開發與發布遵循MIT開源許可證協議。
項目地址
ARTIF:【GitHub傳送門】
責任編輯:趙寧寧
來源:
FreeBuf
