ThreatIngestor:一款功能强大的威胁情报提取和聚合工具!

最新推荐文章于 2024-04-18 09:46:05 发布
最新推荐文章于 2024-04-18 09:46:05 发布
阅读量984 收藏 6
点赞数
分类专栏: Python 文章标签: Python
原文链接:http://mp.toutiao.com/preview_article/?pgc_id=6758746533773967880
版权

ThreatIngestor

ThreatIngestor是一款功能强大的威胁情报提取和聚合工具,该工具易于扩展,并且能够从多个威胁情报feed收集并汇聚威胁情报信息以及入侵威胁指标IoC。该工具整合了 ThreatKB 和 MISP,并且可以利用 SQS 、 Beanstalk 和 自定义插件 来跟很多现有的工作流实现无缝接入。

工具概览

 

ThreatIngestor通过配置之后,可以监控Twitter、RSS feed以及其他的威胁情报源。除此之外,ThreatIngestor还可以提取类似恶意IP地址、恶意域名和YARA签名等更有价值的信息,并将其发送至其他的系统进行更加深入的分析。

实际上,线上恶意活动的最新信息会一直源源不断地发布出来,但手动编译所有的这些信息需要花费大量的手动操作和时间。而ThreatIngestor可以尽可能多地自动化完成这些工作,因此广大研究人员可以将精力和时间专注到更加重要的事情上。

该工具是一款完全模块化的工具,并且高度可配置、可扩展,因此广大研究人员可以根据自己的需要来对其进行高度定制化修改,以接入现有的工作流中。

工具安装

ThreatIngestor的正常运行需要Python 3.6+环境以及相应的开发库支持。

首先,运行下列命令配置Python 3环境:

sudo apt-get install python3-dev

广大研究人员可以使用下列命令从PyPI直接安装ThreatIngestor:

pip install threatingestor

默认配置下,ThreatIngestor并不会直接安装所有的功能插件,如果你需要使用特定的插件,你就需要为该插件配置相应的依赖组件。比如说,如果你想使用SQS:

pip install threatingestor[sqs]

如果你想使用Beanstalk和Twitter的话:

pip install threatingestor[beanstalk,twitter]

如果需要使用其他功能插件的话,还需要安装额外的依赖库:

pip install threatingestor[all]

工具使用

创建一个新的config.yml文件,并且配置每一个你所需要使用的威胁情报源和操作器模块。接下来,运行脚本:

threatingestor config.yml

默认情况下,该工具会一直在后台运行,并且每隔15分钟便会导出一份情报收集报告。

插件

ThreatIngestor使用了“source”(input)和“operator”(output)插件,除此之外该工具还支持整合以下功能插件:

威胁情报源:

Beanstalk work queues

Git repositories

GitHub repository search

RSS feeds

Amazon SQS queues

Twitter

Generic web pages

操作器:

Beanstalk work queues

CSV files

MISP

MySQL table

SQLite database

Amazon SQS queues

ThreatKB

Twitter

ThreatIngestor运行截图

 

PythonJavaPHP
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
深度解读!时序数据库HiTSDB:分布式流式聚合引擎
02-24
于此同时,在公有云客户使用HiTSDB的过程中,发现了越来越多由于聚合查询导致的问题,比如:返回数据点过多会出现栈溢出等错误,聚合点过多导致OOM,或者无法完成聚合,实例完全卡死等等问题。这些问题主要由于原始...
BlackIPS:开源威胁情报,包含3个组件,2个查询API,1个前端,300万+恶意IP,Go +Redis开发的威胁情报查询API性能良好
05-01
blackips 开源威胁情报,包含3个组件,300万+恶意IP。 blackapi Go语言开发,威胁情报查询API blackip Go语言开发,威胁情报查询前端 iplocation PHP语言开发,IP地理位置查询API,包含Nginx配置 blackwtredis 读取威胁情报,写入Redis Shell的脚本,以及Crontab 使用说明 本项目威胁情报会定期自动更新,威胁情报存储到Redis,请自行安装Redis并设置密码 1, 修改biptoredis.sh 里面的Redis 配置,把biptoredis.sh 放到/opt 目录下,并把Crontab记录添加上 2, 修改 blackapi 的Redis配置,编译启动 3, 搭建nginx +php5.x +php-fpm环境,启动iplocation 服务 4, 修改blackip里面的api配置,编译启动即可 5, 第
使用Python实现自动化查询IP威胁情报
PhilCoulSonDn的博客
06-23 988
开头提到的问题在日常网络安全运营工作中成千上万的日志要如何做分析
开源威胁情报工具和技术
热门推荐
不急不躁
08-06 1万+
互联网的规模是巨大的,其中拥有你能想到的所有最重要的数据,不仅仅局限于搜索人或者公司的相关信息,而可能利用这些数据来预测未来将会发生什么。为了完成“预测”,你需要对数据进行处理,一个专业的威胁情报分析人员的任务就是连接数据点并得出一个有意义的结论。 当然,数据遍地都是,但你可以用它们来完成创举。接下来,让我们讨论一下开源情报在威胁管理中扮演的角色是什么。开源威胁情报威胁是什么?威胁可能潜在地损
IOCExtract: 简化网络威胁情报提取的利器
最新发布
gitblog_00097的博客
04-18 307
IOCExtract: 简化网络威胁情报提取的利器 项目地址:https://gitcode.com/InQuest/iocextract iocextract 是一个开源项目,由 InQuest 团队开发,旨在帮助安全分析师和研究人员更有效地从大量文本数据中提取网络安全相关的指标(Indicator of Compromise, IoC)。这些指标可能包括IP地址、域名、文件哈希值等,是识别和防...
如何从威胁数据当中提取威胁情报
weixin_34337381的博客
07-03 1051
威胁情报供给能力已经成为各类组织机构内网络安全体系的重要组成部分。目前已经有多家安全方案供应商针对最新恶意软件手段、恶意域名、网站、IP地址以及基于主机的违规指标(简称IoC)提供与安全威胁相关的情报反馈。 而这些威胁反馈方案的本质思路可谓大同小异。恶意人士的行动速度正变得越来越快,而强大的情报供应能力则将使安全供应商得以快速反应并共享与实际出现的最新威...
Python小练习】实现威胁情报监控报警
慢就是快
02-03 911
文章目录1.需求2.原理3.实现4.效果5.其他优化 1.需求 作为一名安全打工仔,经常忙于各种漏洞追踪复现,但是天天频繁看网站更新太费精力,所以打算写个情报监控,脚本挂在服务器上跑,网站一更新,就发信息到微信提醒。临时写的demo,比较糙,将就看吧。 2.原理 监控网站(以腾讯安全为例) https://s.tencent.com/research/bsafe/ 监控主要元素如下: 流程示意图: 爬取网站:request模块 提取元素:re beautifulsoup模块 时间比较:time 模块
威胁情报基础:爬取、行走、分析
weixin_34183910的博客
05-02 728
过去我们所理解的威胁情报就是“威胁数据→SIEM(安全信息与事件管理)→安全保障”,而这个过程中只有少数东西需要分析。Rick Hollan在2012年的一篇博客《我的威胁情报可以完虐你的威胁情报》中就曾提醒我们“这是一条错误的轨道”,他写道: “只有当你的机构具有自我开发的能力时,才称得上具有真正的威胁情报。” 现阶段,我们可以利用很多已有的威胁情...
一款功能众多的算命工具聚合应用安卓版.rar
06-19
一款功能众多的算命工具聚合应用安卓版
一款强悍的电工类计算工具和资料聚合应用 for Android .rar
06-17
在描述中,“一款强悍的电工类计算工具和资料聚合应用 for Android”进一步确认了应用的主要功能和平台。它强调了应用的强大性能,可能包括各种复杂的电气参数计算,如电阻、电流、电压、功率、电能等的转换和计算,...
强大的电子类工具资料聚合应用 电路专家 for Android .rar
06-17
综上所述,《电路专家 for Android》作为一款强大的电子类工具资料聚合应用,集成了电路设计、学习、交流的多功能于一体,是电子爱好者和工程师的理想助手。其易用性和实用性使其在众多同类应用中脱颖而出,值得广大...
优秀应用超多功能聚合工具箱 root用户的必备 for Android .rar
06-17
总之,"3C All-in-One Toolbox Pro"是一款专门为Root用户打造的全方位管理工具,它将众多实用功能整合在一起,让手机管理变得更加高效和便捷。如果你是一位热衷于探索和优化Android系统的Root用户,这款应用绝对值得...
blackips:开源威胁情报,包含3个组件,2个查询API,1个前端,300万+恶意IP,转到+ Redis开发的威胁情报查询API性能良好
03-12
黑手党 开源威胁情报,包含3个组件,300万+恶意IP。 --blackapi Go语言开发,威胁情报查询API --blackip Go语言开发,威胁情报查询前端 --iplocation PHP语言开发,IP地理位置查询API,包含Nginx配置 --blackwtredis 读取威胁情报,编写Redis Shell的脚本,以及Crontab
Python基于威胁情报的恶意软件检测系统源码.zip
07-09
Python基于威胁情报的恶意软件检测系统源码.zip
TIG:一款威胁情报收集小工具
weixin_43977912的博客
04-05 641
根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。 威胁情报分为四种类型: 战略威胁情报 战略威胁情报(Strategic Threat Intelligence)提供
威胁情报数据采集
yib0y的博客
08-13 4288
将公开的威胁情报数据采集做数据分析和内网安全问题 排查。情报获取只要可以提供全量数据的接口 情报一: http://www.freebuf.com/sectool/159648.html 踩坑: critical-stack-intel list critical-stack 14:19:19 [INFO] Pulling feed list from the Intel Marketpl...
提取命令流_ThreatIngestor一款功能强大威胁情报提取聚合工具
weixin_33819646的博客
01-01 224
ThreatIngestor 介绍ThreatIngestor一款功能强大威胁情报提取聚合工具,该工具易于扩展,并且能够从多个威胁情报feed收集并汇聚威胁情报信息以及入侵威胁指标IoC。该工具整合了ThreatKB和MISP,并且可以利用SQS、Beanstalk和自定义插件来跟很多现有的工作流实现无缝接入。工具概览ThreatIngestor通过配置之后,可以监控Twitter、RSS ...
ArcGIS空间分析工具.docx
02-27
ArcGIS空间分析工具是在GIS领域中非常重要和常用的工具之一,通过其提供的各种功能和工具可以对空间数据进行深入的分析和处理。其中,空间分析扩展模块中提供了许多方便栅格数据处理的工具,例如提取、综合等工具,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值