推荐开源项目:Yeti 平台——你的新一代数字取证与情报平台
yetiYour Everyday Threat Intelligence项目地址:https://gitcode.com/gh_mirrors/ye/yeti
1、项目介绍
在网络安全领域中,Yeti 平台是一个旨在连接威胁情报(CTI)和数字取证与响应(DFIR)实践者的强大工具。它源于对快速定位已知工具体征、搜索与特定威胁相关IOC的迫切需求。通过提供一套全面的取证情报平台和管道,Yeti 助力 DFIR 团队更高效地工作。
项目主页:https://yeti-platform.io/ 文档:https://yeti-platform.io/docs 指南:https://yeti-platform.io/guides
2、项目技术分析
Yeti 的核心功能包括:
- 批量搜索可观察值,并基于威胁类型和系统中存在的位置进行智能推测。
- 从威胁角度出发,迅速列出相关的战术技术程序(TTPs)、恶意软件和DFIR证据。
- 让 CTI 分析师专注于添加情报,而非处理机器可读的导出格式。
- 简化自定义数据源、分析逻辑的集成过程。
实现这些功能的技术手段包括:
- 存储来自内部或外部系统的技术和战略性的威胁情报(如可观察值、TTPs、活动等)。
- 作为DFIR查询的后端支持,例如Yara签名、Sigma规则和DFIQ。
- 提供Web API以自动化查询(比如用于事件管理平台)和丰富数据(例如,在沙箱中的恶意软件分析)。
- 用户可以自定义数据导出格式,以便将数据导入第三方应用(如SIEM、DFIR平台)。
3、项目及技术应用场景
Yeti 可广泛应用于各种场景:
- 在应对安全事件时,快速查找相关IOC并评估其对系统的影响。
- 对于CTI团队,简化情报收集、整理和分享流程,提高效率。
- 在DFIR平台上,帮助整合并解析各种来源的数据,提升分析速度。
- 自动化工作流,如与现有 SIEM 或其他安全工具集成,实现实时监控和响应。
4、项目特点
- 灵活集成:支持多种数据源和分析逻辑,便于定制化扩展。
- 全方位搜索:能从不同维度搜索和关联工具体征,提高威胁检测能力。
- API 驱动:提供 Web API,易于自动化和与其他系统交互。
- 直观界面:用户友好的界面,使数据分析变得更加简单易懂。
- 智能推理:基于存储的CTI信息,自动推断威胁性质和存在位置。
总的来说,无论你是CTI分析师还是DFIR专家,Yeti 平台都能成为你的得力助手,提升你的工作效率并增强你的网络安全防御能力。现在就加入 Yeti 社区,探索这个强大的开源项目带来的无限可能吧!
yetiYour Everyday Threat Intelligence项目地址:https://gitcode.com/gh_mirrors/ye/yeti