从威胁源中提取并聚合IOC。
threatingestor的Python项目详细描述
从威胁源中提取和聚合IOCs的可扩展工具。
用ThreatKB和MISP集成出框,并且可以无缝地与SQS、Beanstalk和custom plugins中的任何现有的WordFipe匹配。
概述
threatingestor可以配置为监视twitter、rss提要或其他源,提取有意义的信息,如恶意ips/域和yara签名,并将该信息发送到另一个系统进行分析。
现在用这个quick walkthrough试试,或者在调查博客上看到更多ThreatIngestor walkthroughs。
安装
ThreatingeStor需要Python3.6+,带有开发头。
从pypi安装threatingestor:
pip install threatingestor
根据需要安装一些插件的可选依赖项:
pip install threatingestor[all]
查看full installation instructions了解更多信息。
用法
创建一个新的config.yml文件,并配置要使用的每个源和运算符模块。(请参见config.example.yml了解布局。)然后运行脚本:
threatingestor config.yml
默认情况下,它将永远运行,每15分钟轮询一个配置的源。
查看full ThreatIngestor documentation了解更多信息。
插件
ThreatingeStor使用一个插件架构,其中包含“源”(输入)和“操作员”(输出)插件。当前支持的集成有:
来源
操作员
查看full ThreatIngestor documentation以获取有关包含的插件以及如何创建自己的插件的更多信息。
威胁情报来源
寻找威胁情报来源开始?inquest有一个twitter列表,上面有几个发布c2域和ips的帐户:https://twitter.com/InQuest/lists/c2-feed。请注意,您需要申请twitter开发人员帐户才能使用threatingestor twitter源代码。查看config.example.yml以了解如何将此列表设置为源。
为了更快的设置,rss提要可以是一个伟大的情报来源。查看这个示例RSS config file了解一些预先配置的安全博客。
支架
如果您需要帮助设置,或遇到任何问题,请随时打开Issue。你也可以在twitter上联系@InQuest。
我们很高兴听到您对ThreatingStor的任何反馈,它的文档,或者您如何让它为您工作!
贡献
欢迎提出问题和请求。请保持python代码pep8兼容。通过提交pull请求,您同意根据LICENSE的条款发布您的提交。