有关ARTIF
ARTIF是一个新式的高級即时威胁智能化架构,它根据MISP并增加了另一个抽象化层,以达到依据IP地址和历史记录鉴别故意Web总流量。此外,该工具还能够根据搜集、解决和关系根据不一样原因的观测值来实行全自动剖析和威胁评分。
功能介绍
- 评分系统软件:应用威胁元数据丰富多彩IP地址信息内容,主要包括了威胁评分,这一评分可以做为安全性精英团队付诸行动的阀值。
- 容器化:该工具应用器皿开展布署,因而便于布署。
- 模块化设计系统架构:该新项目根据软件,只需改动MISP中的威胁源就可以轻轻松松拓展,并且可以线上自动更新,不容易造成具体服务项目停止运行。
- 警报:拓展作用与Slack无缝拼接集成化,可完成积极警报。
- 更强的进攻剖析和可视化效果。
应用情景
- 威胁检验
- 日志和监管
- 客户环境变量
- 警报自动化技术
工具规定
最先,大家必须安装好MISP,这儿可以立即应用源代码安装,或应用预创建的AWS镜像文件。
安装进行以后,大家必须定阅maxmind便于为IP添充元数据,这儿必须编写docker-compose.yaml并加上子键:
工具安装
最先,大家必须应用以下指令将该新项目源代码复制至当地:
随后将工作中文件目录转换至ARTIF网站根目录,搭建Docker,并打开Docker器皿:
安装MISP,浏览MISP车内仪表盘并获得MISP密匙。随后编写config.yaml文档,加上MISP_KEY和MISP_URL的值。这儿的MISP_KEY便是你的MISP密匙,MISP_URL即代管MISP的URL详细地址。
下边得出的是config.yaml样例,可以立即将其换成你相匹配的值:
如今,以详细相对路径加“-s”主要参数运作以下指令:
再运行一次,此次不用“-s”主要参数:
下面,应用Django的内嵌适用加上crontab:
从ip_rep文件目录下运行Django网络服务器:
这时将打开端口8000,该端口号用以从IP地址获得元数据:
輸出結果相近如下所示:
工具应用演试
设定并运行Docker器皿:
打开ARTIF:
工具应用样例
大家必须使用update_check.py来启用ARTIF:
大家还可以根据运作以下指令来查询cron每日任务:
默认设置配备下,每24钟头工具都是会检验一次MISP并获得全新的feed。
许可证书协议书
本工程项目的研发与公布遵循MIT开源系统许可证书协议书。
新项目详细地址
ARTIF:【GitHub传送器】