• SEO文章推广! 合作联系qq:122325244 正式全面改版 !免费SEO地址:https://www.seozhan.cn/tool 站长QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏SEO站长博客吧

开源安全情报引擎Critical Stack使用入门

脚本编程 SEO站长博客 4个月前 (08-01) 64次浏览 已收录 0个评论

摘要

前言:

笔者曾参与恶意IP 库(IP 画像)建设工作,恶意IP 库的建立和完善,在初期确实有效的支援了安全运维工作,包括攻击流量黑名单,入侵检测与溯源等,但在建设的中后期逐渐暴露了一些问题:

1.建设成本趋高:从 0-1 的过程当中,通过购买数据的方式,迅速积累起了足够规模的恶意IP 数据,前期效益较为明显,后续通过外购或爬虫的方式,一方面形成费用的长期支出,另一方面反爬限制的日益严格,以及所购买和爬虫获取的数据当中存在大量的重复数据恶意IP 库规模增长放缓。

2.更新困难:众所周知,IP 是一个动态变化的标识,IP 的行为记录只能代表其过去一段时间的特点,如果长期根据这些特点、记录判断一个 IP 的性质和来源,必然会造成偏差,甲方运维组织如果没有建立可靠的消息渠道,无从了解这种变化。

3.随着云计算的可接受程度提高,企业搭建私有云,甚至是混合云的情况越来越普遍,只是单纯利用 IP 进行来源合法性的判断容易出现误判,同步建立恶意域名库,恶意文件特征库的需求变得迫切。

   正文

Critical-Stack-Intel 是由 Critial Stack 公司开源的威胁情报数据集市,内置了超过 130 个情报来源(持续增加中),且每个情报来源(Feeds)已自动去重,部分时效性的强的 Feed 做到每小时更新数据和状态,对恶意 IP 黑名单,恶意文件 MD5 列表是一个极大的补充。

Critical-Stack-Intel 主要架构分为 Sensors,Collections,Feeds,Indicators,要想准确获取情报,就要梳理清楚这四个要素的主要功能和关系,其中:

•Collections:新建 Collection,描述 Collection 名称和用途,举例,如专门用于收集远控端 IP,专门用于收集恶意病毒来源 IP ,专门用于垃圾邮件网关等;

•Sensors:绑定在具体用途的 Collection 之下,一个 Sensor 对应一个 API Key,API Key 可以通过接口进行拉取更新操作;

•Feeds:消息源,可根据预设的 Collection 和 Sensor 功能进行订阅关联。需注意:在导航 Tab 页 Feeds 下只是对 Feeds 进行展示,订阅需在指定 Collection 下,通过 Add More Feedsa 进行添加;

•Indicators:Feed 里提供的威胁情报单条记录称为 Indicator,可以是一个 IP ,域名,主机名称,文件 MD5 等,包括:

   Intel::ADDR Intel::URL Intel::SOFTWARE Intel::EMAIL Intel::DOMAIN Intel::USER_NAME Intel::FILE_HASH Intel::FILE_NAME Intel::CERT_HASH

借助 Metrics 页面,可以看到各个 Collection 的工作效率,贡献度,以及各种分类统计,如按月,按恶意信息种类等

为了与内部运维平台或情报数据库整合,需要安装 Critical-Stack-Intel-Client, 以便可通过程序命令对情报进行管理:

   curl install/repositories/criticalstack/critical-stack-intel/script.deb.sh sudo bash sudo apt-get install critical-stack-intel

安装 Critical-Stack-Intel 后,关联需要操作的 Sensor 的 API Key:

   sudo critical-stack-intel api <Your API Key>

之后便可操作情报库的更新和获取,列出该 Sensor 下所有 Feeds 状态:

   sudo critical-stack-intel list

拉取该 Sensor 下的所有 Feeds 的最新数据

   sudo critical-stack-intel pull

   后记

通过定时任务,自动拉取最新情报,恶意情报库规模得到快速壮大,在安全运维工作当中更好扮演“大脑”角色,对恶意文件检测,恶意 IP 拦截的精度预计得到提升。 weinxin


SEO站长博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:开源安全情报引擎Critical Stack使用入门
喜欢 (0)
[h4ck3st@126.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址