freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

ThreatIngestor:一款功能强大的威胁情报提取和聚合工具
2019-11-12 15:00:47

ThreatIngestor

ThreatIngestor是一款功能强大的威胁情报提取和聚合工具,该工具易于扩展,并且能够从多个威胁情报feed收集并汇聚威胁情报信息以及入侵威胁指标IoC。该工具整合了ThreatKBMISP,并且可以利用SQSBeanstalk自定义插件来跟很多现有的工作流实现无缝接入。

工具概览

ThreatIngestor通过配置之后,可以监控Twitter、RSS feed以及其他的威胁情报源。除此之外,ThreatIngestor还可以提取类似恶意IP地址、恶意域名和YARA签名等更有价值的信息,并将其发送至其他的系统进行更加深入的分析。

实际上,线上恶意活动的最新信息会一直源源不断地发布出来,但手动编译所有的这些信息需要花费大量的手动操作和时间。而ThreatIngestor可以尽可能多地自动化完成这些工作,因此广大研究人员可以将精力和时间专注到更加重要的事情上。

该工具是一款完全模块化的工具,并且高度可配置、可扩展,因此广大研究人员可以根据自己的需要来对其进行高度定制化修改,以接入现有的工作流中。

工具安装

ThreatIngestor的正常运行需要Python 3.6+环境以及相应的开发库支持。

首先,运行下列命令配置Python 3环境:

sudo apt-get install python3-dev

广大研究人员可以使用下列命令从PyPI直接安装ThreatIngestor:

pip install threatingestor

默认配置下,ThreatIngestor并不会直接安装所有的功能插件,如果你需要使用特定的插件,你就需要为该插件配置相应的依赖组件。比如说,如果你想使用SQS:

pip install threatingestor[sqs]

如果你想使用Beanstalk和Twitter的话:

pip install threatingestor[beanstalk,twitter]

如果需要使用其他功能插件的话,还需要安装额外的依赖库:

pip install threatingestor[all]

工具使用

创建一个新的config.yml文件,并且配置每一个你所需要使用的威胁情报源和操作器模块。接下来,运行脚本:

threatingestor config.yml

默认情况下,该工具会一直在后台运行,并且每隔15分钟便会导出一份情报收集报告。

插件

ThreatIngestor使用了“source”(input)和“operator”(output)插件,除此之外该工具还支持整合以下功能插件:

威胁情报源:

Beanstalk work queues

Git repositories

GitHub repository search

RSS feeds

Amazon SQS queues

Twitter

Generic web pages

操作器:

Beanstalk work queues

CSV files

MISP

MySQL table

SQLite database

Amazon SQS queues

ThreatKB

Twitter

ThreatIngestor运行截图

工具地址

ThreatIngestor:【GitHub传送门

* 参考来源:InQuest,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

# 工具 # ThreatIngestor
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者