ThreatIngestor 介绍
ThreatIngestor是一款功能强大的威胁情报提取和聚合工具,该工具易于扩展,并且能够从多个威胁情报feed收集并汇聚威胁情报信息以及入侵威胁指标IoC。该工具整合了ThreatKB和MISP,并且可以利用SQS、Beanstalk和自定义插件来跟很多现有的工作流实现无缝接入。
工具概览
ThreatIngestor通过配置之后,可以监控Twitter、RSS feed以及其他的威胁情报源。除此之外,ThreatIngestor还可以提取类似恶意IP地址、恶意域名和YARA签名等更有价值的信息,并将其发送至其他的系统进行更加深入的分析。
实际上,线上恶意活动的最新信息会一直源源不断地发布出来,但手动编译所有的这些信息需要花费大量的手动操作和时间。而ThreatIngestor可以尽可能多地自动化完成这些工作,因此广大研究人员可以将精力和时间专注到更加重要的事情上。
该工具是一款完全模块化的工具,并且高度可配置、可扩展,因此广大研究人员可以根据自己的需要来对其进行高度定制化修改,以接入现有的工作流中。
工具安装
ThreatIngestor的正常运行需要Python 3.6+环境以及相应的开发库支持。
首先,运行下列命令配置Python 3环境:
sudo apt-get install python3-dev
广大研究人员可以使用下列命令从PyPI直接安装ThreatIngestor:
pip install threatingestor
默认配置下,ThreatIngestor并不会直接安装所有的功能插件,如果你需要使用特定的插件,你就需要为该插件配置相应的依赖组件。比如说,如果你想使用SQS:
pip install threatingestor[sqs]
如果你想使用Beanstalk和Twitter的话:
pip install threatingestor[beanstalk,twitter]
如果需要使用其他功能插件的话,还需要安装额外的依赖库:
pip install threatingestor[all]
工具使用
创建一个新的config.yml文件,并且配置每一个你所需要使用的威胁情报源和操作器模块。接下来,运行脚本:
threatingestor config.yml
默认情况下,该工具会一直在后台运行,并且每隔15分钟便会导出一份情报收集报告。
插件
ThreatIngestor使用了"source"(input)和"operator"(output)插件,除此之外该工具还支持整合以下功能插件:
威胁情报源:
Beanstalk work queues
Git repositories
GitHub repository search
RSS feeds
Amazon SQS queues
Generic web pages
操作器:
Beanstalk work queues
CSV files
MISP
MySQL table
SQLite database
Amazon SQS queues
ThreatKB
ThreatIngestor运行截图
工具地址
ThreatIngestor:【GitHub传送门】
稿源转自freebuf,意在技术分享,如有涉及版权问题请及时联系我方删除。