IntelOwl:大规模管理你的威胁情报


IntelOwl:大规模管理你的威胁情报_工具

IntelOwl:大规模管理你的威胁情报_情报_02

您是否想获取有关恶意软件、IP 地址或域的威胁情报数据

您是否想使用单个 API 请求同时从多个来源获取此类数据?

你在正确的地方!

IntelOwl 是一款用于大规模威胁情报管理的开源解决方案。

它集成了多种在线分析器和大量尖端恶意软件分析工具。

IntelOwl 是一款专为大规模威胁情报管理而设计的开源解决方案

它集成了众多在线分析器和高级恶意软件分析工具,在一个平台上提供全面的洞察。

2019 年末,作者在一家安全运营中心 (SOC) 担任网络安全分析师时面临重大挑战。我们的团队严重人手不足,却被安全警报和事件淹没。工作量太大,导致我们精疲力竭。

我们意识到需要解决方案,因此寻找一种工具来自动化我们最常见的工作流程,特别是在威胁情报数据提取和分析方面。然而,没有现有的开源工具可以满足我们的所有要求,所以我们决定从头开始创建一个。

我们知道,我们面临的困难并非个例;网络安全社区的许多人都面临着同样的挑战。自动化重复性任务曾经是、现在仍然是该领域的一个关键需求。

在我们推出的第一年,该工具就引起了广泛关注,并使其在随后的几年中不断发展壮大。

如今,IntelOwl 让网络安全分析师能够专注于真正重要的事情:了解威胁和解决事件,而不是被日常任务所困扰。

IntelOwl 功能

IntelOwl 是一个威胁情报平台,旨在扩展和加快威胁信息的检索。

它是一个完整的 Web 应用程序,旨在与其他安全工具集成或用作独立项目。

它有一个很酷的 GUI、成熟的 REST API 和官方客户端库。

对于数据收集,它集成了多个在线分析器和许多尖端恶意软件分析工具。

它已构建为一个框架,因此每个部分都具有高度可定制性:您可以根据用例、私有服务、自定义工具等添加自己的插件。

您可以分析调查过程中发现的每种数字工件,例如网络工件、可疑文件,并将它们关联在一起,同时从一个工件转向另一个工件,以构建分析流程并找到所需的信息。

当集成到 SOC 中或作为威胁情报分析师、威胁猎手或取证分析师的调查工具时,效果非常好。

可用的服务或分析器

内置模块:

静态办公文档、RTF、PDF、PE 文件分析和元数据提取
字符串反混淆和分析(FLOSS、Stringsifter 等)
使用 Qiling 和 Speakeasy 进行 PE 模拟
PE签名验证
PE 能力提取 (CAPA)
JavaScript 模拟 (Box-js)
Android 恶意软件分析 (Quark-Engine, …)
SPF 和 DMARC 验证器
Yara(有公共规则,您也可以添加自己的规则)

外部服务:

Abuse.ch MalwareBazaar/URLhaus/Threatfox/YARAify
GreyNoise v2
Intezer
VirusTotal v3
Crowdsec
URLscan
Shodan
AlienVault OTX
Intelligence_X
MISP

未来计划和下载

我们致力于增加对调查框架的支持,这可以帮助威胁情报分析师更好地跟踪他们的分析并更协作地工作。

我们还希望添加一种更精细的方式来搜索提取的数据:这将有助于威胁猎手从大海捞针。

而且,为什么不使用基于人工智能的聊天机器人来帮助分析师获取他们需要的信息呢?

我们正在为下一届 Google Summer of Code 探索这个想法。

IntelOwl 可在GitHub上免费获取。

 https://github.com/intelowlproject/IntelOwl