从git存储库生成json格式的炭黑联盟feed
hydrocarbon的Python项目详细描述
简介
此工具将技术指标(IOC)和搜索查询转换为 炭黑联盟feed所需的json格式。这个可以导入 手动或通过添加威胁情报进入炭黑服务器 feed,它将定期更新。
这是大卫·坎宁斯写的 由AGPL下的NCC集团发布。
最新的代码可以在Github repository中找到。
我为什么要用它?
此工具在以下情况下非常有用:
- 您希望在多个炭黑服务器上同步监视列表。
- 你想分享指标(而且你没有英特尔平台的核心威胁)。
快速启动
要开始,您需要:
- 配置文件(请参见
examples/config.yaml) - 至少一个数据文件(请参见
examples/data/)
首先在虚拟环境中安装工具:
# Create a new virtual environment
$ python3 -m venv hydrocarbon_venv
# Activate the virtual environment
$ . hydrocarbon_venv/bin/activate # On Windows run hydrocarbon_venv\Scripts\activate.ps1
# Instal the module
$ pip install hydrocarbon
现在生成一个带有feed数据的json文件:
# Generate JSON from the example data
$ hydrocarbon --config examples\config.yaml --data examples\data --output feed.json
您可以选择提供两个徽标(100x100和370x97)以包含在 馈送数据。这些将显示在Web UI中,例如:
# Generate JSON from the example data
$ hydrocarbon --config examples\config.yaml --data examples\data --output feed.json \
--icon-large examples\large.jpg --icon-small examples\small.jpg
插入图像
该工具可以在您自己的python脚本中使用,请参见faq。
常见问题
为什么要与git集成?
炭黑服务器需要每个报告的时间戳。使用git给出 一个精确的时间戳(从最近的提交开始),它不会改变。这个 确保“增量”更新模式有效,只有更改的报告 被解析。
不用git就可以使用。但是,这不建议用于 除了测试。
如何删除指标?
炭黑响应服务器更喜欢对 喂养。这意味着删除的项目将不会被删除。
要删除项目,请将enabled更改为False,然后重新生成提要。
如何自动更新服务器?
只需将json文件复制到一个web服务器,carbon就可以访问该服务器 黑色实例。您可以选择使用基本身份验证并提供 炭黑网络界面中的用户名和密码。
你可以在炭黑中添加一个新的feed到威胁情报部分。
除了返回有效的 json。
如何将此与我的工作流集成?
该工具是一个python模块,可以从您自己的代码中导入和使用。
fromhydrocarbonimportFeedGeneratorbuilder=FeedGenerator("/path/to/config.yaml")builder.add_data_dir("/path/to/data/")withopen("output.json","w")asfh:builder.generate_feed(fh)
有关示例实现,请参见hydrocarbon/app.py。
欢迎加入QQ群-->: 979659372
