ThreatIngestor 介紹
ThreatIngestor是一款功能強大的威脅情報提取和聚合工具,該工具易於擴展,並且能夠從多個威脅情報feed收集並匯聚威脅情報信息以及入侵威脅指標IoC。該工具整合了ThreatKB和MISP,並且可以利用SQS、Beanstalk和自定義插件來跟很多現有的工作流實現無縫接入。
工具概覽
ThreatIngestor通過配置之後,可以監控Twitter、RSS feed以及其他的威脅情報源。除此之外,ThreatIngestor還可以提取類似惡意IP地址、惡意域名和YARA簽名等更有價值的信息,並將其發送至其他的系統進行更加深入的分析。
實際上,線上惡意活動的最新信息會一直源源不斷地發佈出來,但手動編譯所有的這些信息需要花費大量的手動操作和時間。而ThreatIngestor可以儘可能多地自動化完成這些工作,因此廣大研究人員可以將精力和時間專注到更加重要的事情上。
該工具是一款完全模塊化的工具,並且高度可配置、可擴展,因此廣大研究人員可以根據自己的需要來對其進行高度定製化修改,以接入現有的工作流中。
工具安裝
ThreatIngestor的正常運行需要Python 3.6+環境以及相應的開發庫支持。
首先,運行下列命令配置Python 3環境:
sudo apt-get install python3-dev
廣大研究人員可以使用下列命令從PyPI直接安裝ThreatIngestor:
pip install threatingestor
默認配置下,ThreatIngestor並不會直接安裝所有的功能插件,如果你需要使用特定的插件,你就需要為該插件配置相應的依賴組件。比如說,如果你想使用SQS:
pip install threatingestor[sqs]
如果你想使用Beanstalk和Twitter的話:
pip install threatingestor[beanstalk,twitter]
如果需要使用其他功能插件的話,還需要安裝額外的依賴庫:
pip install threatingestor[all]
工具使用
創建一個新的config.yml文件,並且配置每一個你所需要使用的威脅情報源和操作器模塊。接下來,運行腳本:
threatingestor config.yml
默認情況下,該工具會一直在後臺運行,並且每隔15分鐘便會導出一份情報收集報告。
插件
ThreatIngestor使用了"source"(input)和"operator"(output)插件,除此之外該工具還支持整合以下功能插件:
威脅情報源:
Beanstalk work queues
Git repositories
GitHub repository search
RSS feeds
Amazon SQS queues
Generic web pages
操作器:
Beanstalk work queues
CSV files
MISP
MySQL table
SQLite database
Amazon SQS queues
ThreatKB
ThreatIngestor運行截圖
工具地址
ThreatIngestor:【GitHub傳送門】
稿源轉自freebuf,意在技術分享,如有涉及版權問題請及時聯繫我方刪除。
閱讀更多 白帽黑客 的文章