[[423011]]

關(guān)于A(yíng)RTIF

ARTIF是一個(gè)新型的高級(jí)實(shí)時(shí)威脅智能框架，它基于MISP并添加了另一個(gè)抽象層，以實(shí)現(xiàn)根據(jù)IP地址和歷史數(shù)據(jù)識(shí)別惡意Web流量。除此之外，該工具還可以通過(guò)收集、處理和關(guān)聯(lián)基于不同因素的觀(guān)測(cè)值來(lái)執(zhí)行自動(dòng)分析和威脅評(píng)分。

功能介紹

• 評(píng)分系統(tǒng)：使用威脅元數(shù)據(jù)豐富IP地址信息，其中包括了威脅評(píng)分，這個(gè)評(píng)分可以作為安全團(tuán)隊(duì)采取行動(dòng)的閾值。
• 容器化：該工具使用容器進(jìn)行部署，因此易于部署。
• 模塊化體系結(jié)構(gòu)：該項(xiàng)目基于插件，只需修改MISP中的威脅源即可輕松擴(kuò)展，而且可以在線(xiàn)實(shí)時(shí)更新，不會(huì)導(dǎo)致實(shí)際服務(wù)停止運(yùn)行。
• 警報(bào)：擴(kuò)展功能與Slack無(wú)縫集成，可實(shí)現(xiàn)主動(dòng)警報(bào)。
• 更好的攻擊分析和可視化效果。

使用場(chǎng)景

• 威脅檢測(cè)
• 日志和監(jiān)控
• 用戶(hù)配置文件
• 警報(bào)自動(dòng)化

工具要求

首先，我們需要安裝好MISP，這里可以直接使用源碼安裝，或使用預(yù)構(gòu)建的AWS鏡像。

安裝完成之后，我們需要訂閱maxmind以便為IP填充元數(shù)據(jù)，這里需要編輯docker-compose.yaml并添加子鍵：

maxmind: 
 
    image: maxmindinc/geoipupdate 
 
    environment: 
 
      GEOIPUPDATE_ACCOUNT_ID: xxxxx 
 
      GEOIPUPDATE_LICENSE_KEY: xxxxxxxxxxxxxx 

工具安裝

首先，我們需要使用下列命令將該項(xiàng)目源碼克隆至本地：

git clone https://github.com/CRED-CLUB/ARTIF/ 

然后將工作目錄切換至ARTIF根目錄，構(gòu)建Docker，并開(kāi)啟Docker容器：

sudo docker-compose build 
 
sudo docker-compose up 

安裝MISP，訪(fǎng)問(wèn)MISP儀表盤(pán)并獲取MISP密鑰。然后編輯config.yaml文件，添加MISP_KEY和MISP_URL的值。這里的MISP_KEY就是你的MISP密鑰，MISP_URL即托管MISP的URL地址。

下面給出的是config.yaml樣例，可以直接將其替換成你對(duì)應(yīng)的值：

credentials: 
 
        MISP_URL: "https://127.0.0.1" 
 
        MISP_KEY: "qwertyuiopasdfghjk" 

現(xiàn)在，以完整絕對(duì)路徑加“-s”參數(shù)運(yùn)行下列命令：

python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py -s 

再運(yùn)行一次，這次不加“-s”參數(shù)：

python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py 

接下來(lái)，使用Django的內(nèi)置支持添加crontab：

python3 manage.py crontab add 

從ip_rep目錄下啟動(dòng)Django服務(wù)器：

python3 manage.py runserver 

此時(shí)將打開(kāi)端口8000，該端口用于從IP地址獲取元數(shù)據(jù)：

curl 127.0.0.1:8000/ip/?ip=x.x.x.x 

輸出結(jié)果類(lèi)似如下：

{"is_IoC": false, "is_Active": false, "metadata": {"asn": "AS165**", "country": "XXX", "org": "XXX"}, "score": 80.14671726301682, "description": "XXX", "blacklists": "", "type": "", "historical":false, verdict": "No action needed"} 

工具使用演示

設(shè)置并啟動(dòng)Docker容器：

開(kāi)啟ARTIF：

工具使用樣例

我們需要使用update_check.py來(lái)調(diào)用ARTIF：

ubuntu@localhost:~/ARTIF/ip_rep/feed_ingestor$ python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py -h 
 
usage: update_check.py [-h] [-s [S]] -k [KEY] -m MISP 
 
  
 
IP reputation program 
 
  
 
optional arguments: 
 
  -h, --help            show this help message and exit 
 
  -s [S]                Required only for the first run 

我們也可以通過(guò)運(yùn)行下列命令來(lái)查看cron任務(wù)：

python3 manage.py crontab show 

默認(rèn)配置下，每24小時(shí)工具都會(huì)檢測(cè)一次MISP并獲取最新的feed。

許可證協(xié)議

本項(xiàng)目的開(kāi)發(fā)與發(fā)布遵循MIT開(kāi)源許可證協(xié)議。

項(xiàng)目地址

ARTIF：【GitHub傳送門(mén)】