关于ARTIF
ARTIF是一个新型的高级实时威胁智能框架,它基于MISP并添加了另一个抽象层,以实现根据IP地址和历史数据识别恶意Web流量。除此之外,该工具还可以通过收集、处理和关联基于不同因素的观测值来执行自动分析和威胁评分。
功能介绍
评分系统:使用威胁元数据丰富IP地址信息,其中包括了威胁评分,这个评分可以作为安全团队采取行动的阈值。
容器化:该工具使用容器进行部署,因此易于部署。
模块化体系结构:该项目基于插件,只需修改MISP中的威胁源即可轻松扩展,而且可以在线实时更新,不会导致实际服务停止运行。
警报:扩展功能与Slack无缝集成,可实现主动警报。
更好的攻击分析和可视化效果。
使用场景
威胁检测
日志和监控
用户配置文件
警报自动化
工具要求
首先,我们需要安装好MISP,这里可以直接使用源码安装,或使用预构建的AWS镜像。
安装完成之后,我们需要订阅maxmind以便为IP填充元数据,这里需要编辑docker-compose.yaml并添加子键:maxmind:image: maxmindinc/geoipupdateenvironment:GEOIPUPDATE_ACCOUNT_ID: xxxxxGEOIP