ARTIF es un nuevo marco avanzado de inteligencia de amenazas en tiempo real que agrega otra capa de abstracción sobre MISP para identificar amenazas y tráfico web malicioso según la reputación de IP y los datos históricos. También realiza evaluaciones automáticas de enriquecimiento y amenazas mediante la recopilación, el procesamiento y la correlación de observables en función de varios factores.
Las funciones más importantes de ARTIF incluyen:
- Sistema de puntuación: enriquece las direcciones IP con metadatos de amenazas, incluida una puntuación de amenazas que puede servir como umbral para que los equipos de seguridad tomen medidas.
- En contenedores: ARTIF se implementa mediante contenedores, por lo que es fácil de implementar.
- Arquitectura modular: el proyecto está basado en complementos y se puede expandir fácilmente cambiando las fuentes de amenazas en MISP. No habría tiempo de inactividad para el servicio real, ya que serían actualizaciones en línea.
- Alerta: función avanzada que se integra a la perfección con Slack para alertas activas. También ofrece mejores perfiles de ataque y visualizaciones.
Algunos casos de uso: –
- Detección de amenazas
- Registro y seguimiento
- Perfiles de usuarios
- Automatización de notificaciones
¿Por qué utilizar ARTIF? Es el marco Intel de amenazas en tiempo real el que puede ayudar a identificar direcciones IP maliciosas incluso si no están presentes en el MISP. Esto permite a las organizaciones establecer una primera capa de defensa al proporcionar visibilidad del tráfico web malicioso que llega a sus servidores.
- De forma predeterminada, 52 fuentes de amenazas de código abierto configuradas con una base de datos de 0,7 millones de direcciones IP.
- Tiene una latencia de ~ 180 ms> 10 veces más rápida que los productos comerciales.
- Las IP históricas se almacenan para su análisis y se utilizan en la puntuación basada en registros y patrones pasados.
- Agrega puntos a cada IP además de otros metadatos.
requisitos
- ¿Qué es MISP y cómo lo instalo?
Tomado de MISP: MISP es una solución de software de código abierto para recopilar, almacenar, distribuir y compartir indicadores y amenazas de ciberseguridad para el análisis de incidentes de ciberseguridad y el análisis de malware. MISP fue desarrollado por y para analistas de incidentes, expertos en seguridad y TIC o reversores de malware para respaldar sus operaciones diarias en el intercambio eficiente de información estructurada.
MISP se puede instalar con el código fuente o sus imágenes de AWS predefinidas. Puede encontrar más información sobre la instalación de MISP en su sitio web.
- Tenemos que suscribirnos a maxmind para completar los metadatos de la IP. Para agregar su subclave, edite docker-compose.yaml
maxmind:
Imagen: maxmindinc / geoipupdate
Vecindad:
GEOIPUPDATE_ACCOUNT_ID: xxxxx
GEOIPUPDATE_LICENSE_KEY: xxxxxxxxxxxxxx
instalación
- Clone el repositorio usando git o descargue el archivo zip
clon de git https://github.com/CRED-CLUB/ARTIF/
- Cree el Docker cambiando el directorio de trabajo a la carpeta ARTIF e iniciando los contenedores de Docker para él.
sudo docker-compose build
sudo docker-compose up
- Configure MISP, visite el panel de MISP y obtenga la clave MISP. Ahora edite config.yaml y agregue los valores MISP_KEY y MISP_URL. Aquí, MISP_KEY es su clave API para MISP y MISP_URL es la URL en la que está alojado MISP.
A continuación se muestra un ejemplo de configuración.yaml como referencia. Simplemente reemplace los valores apropiados con sus valores.
Cartas credenciales:
MISP_URL: «https://127.0.0.1»
MISP_KEY: «qwertyuiopasdfghjk»
- Ahora ejecute el siguiente comando con la ruta absoluta completa al archivo update_check.py con el argumento -s
python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py -s
- Ahora ejecute el mismo comando sin el argumento -s.
python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py
- Agregue el crontab con el soporte integrado de Django ejecutando el siguiente comando ejecutando
python3 manage.py crontab agregar
- Inicie el servidor Django desde el directorio ip_rep.
python3 manage.py runserver
Esto abre el puerto 8000, que se puede usar para obtener los metadatos de las direcciones IP. Ahora puede intentar obtener la puntuación de amenaza para una IP específica.
curl 127.0.0.1:8000/ip/?ip=xxxx
El problema es
«Is_IoC»: false, «is_Active»: false, «metadata»: «asn»: «AS165 **», «country»: «XXX», «org»: «XXX», «score»: 80.14671726301682 , «Descripción»: «XXX», «Listas negras»: «», «Tipo»: «», «Histórico»: falso, veredicto «:» No se requiere acción «
La puntuación representa un riesgo menor para el IP porque la puntuación de amenaza es alta. Cuanto mayor sea la puntuación, menor será la IP no maliciosa.
Nota: Se recomienda una instancia con 8 GB de RAM para la instalación de ARTIF.
Configurar contenedores Docker
Iniciar ARTIF
Adición de feeds personalizados
ARTIF admite la sincronización con MISP. Sincroniza las fuentes de MISP, selecciona la configuración más reciente de settings.yaml y cualquier evento nuevo cambiado por MISP se refleja en settings.yaml. Para agregar una nueva IP, simplemente inicie sesión en MISP y haga clic en la página Agregar fuente. Una vez que se ha agregado la IP, el cronjob la recogerá de acuerdo con su horario y se procesará automáticamente.
Detalles técnicos
ARTIF es un marco de amenazas y es muy útil para la visibilidad del tráfico corporativo. Está escrito completamente en Python y recopila información sobre una IP de varios feeds. Luego, estos datos se envían a un motor de correlación que genera una puntuación de amenaza, y los datos históricos también son uno de los factores que se tienen en cuenta al calcular la puntuación de amenaza.
Cada vez que una nueva IP llega al servicio, a un trabajador de apio se le asigna la tarea de actualizar su puntaje en la base de datos mediante la coordinación con el motor de correlación, que a su vez recopila datos de múltiples fuentes. Para asegurarnos de que los datos no estén desactualizados (el valor predeterminado para el tiempo obsoleto es 24 horas), ejecutamos un trabajador para cada IP en la base de datos que no se actualizó en el último tiempo obsoleto. Como todos los demás parámetros, este valor también se puede configurar. Dado que calcular el puntaje de amenaza es clave para todo esto, le damos mucho énfasis. Además de las fuentes de amenazas conocidas como MISP, Cortex, Alien Vault, VirusTotal y la popular lista negra de IP, también podemos agregar fuentes personalizadas por caso de uso comercial y de seguridad, donde la lealtad del cliente también se puede utilizar como un parámetro para Calcule la puntuación de amenaza.
Para simplificar la configuración, ARTIF requiere la siguiente entrada para ejecutarse:
- Feeds en la instancia de MISP
- Una clave MISP para la comunicación con la instancia MISP
- Una URL de MISP que se utilizará para conectarse a la instancia de MISP mediante la clave de MISP
Cuando se ejecuta, los datos se procesan y almacenan en un contenedor MongoDB. El contenedor de MongoDB contiene 3 bases de datos importantes que contienen información sobre la IP en el feed, así como sus metadatos para, por ejemplo, País / ASN, Org, etc. Si la IP no se encuentra en la base de datos, significa que hay una nueva IP llegando al servidor y cuya información no está en MISP. Luego usamos un algoritmo y varios otros parámetros como geolocalización, ASN y Org. Para calcular una puntuación de riesgo para la IP respectiva. Puede encontrar más información sobre el motor de puntuación aquí.
ARTIF tiene funciones adicionales para realizar un seguimiento de los feeds antiguos. La configuración predeterminada completa los últimos feeds cada 24 horas. Después de 24 horas, la fuente anterior se moverá a una colección diferente y se agregará la última. Para que sea más fácil de usar, hemos agregado un campo llamado «histórico» a la salida que indica si la IP fue históricamente mala. Un valor falso indica que la IP se agregó recientemente a las fuentes, mientras que un valor verdadero indica que la IP ya estaba presente en las fuentes más antiguas y, por lo tanto, es una IP históricamente maliciosa.
De forma predeterminada, todas las IP históricas se eliminan de la base de datos después de 7 días.
Aplicación / ejemplos
Debe llamar a ARTIF con update_check.py, que es la columna vertebral de ARTIF.
ubuntu @ localhost: ~ / ARTIF / ip_rep / feed_ingestor $ python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py -h
Uso: update_check.py [-h] [-s [S]]-k [KEY] -m MISP
Programa de reputación de PI
argumentos opcionales:
-h, –help Muestra este mensaje de ayuda y sale
-S [S] Solo se requiere para la primera ejecución
También puede ver el trabajo cron ejecutando el siguiente comando:
Python3 manage.py crontab mostrar
Esto actualizará automáticamente el feed. De forma predeterminada, verifica el MISP para obtener el último feed cada 24 horas y llena la base de datos con la nueva IP de los feeds. Las direcciones IP anteriores a 7 días también se eliminan del planificador.