ANOMALI STAXX威胁情报订阅分析系统把玩

admin 2022年5月17日11:22:07安全博客评论9 views1162字阅读3分52秒阅读模式

ANOMALI公司就是以前的ThreatStream,以前我研究过的MHN就是出自他手,其实本来是在找MHN的一些资料的,结果无意中看见了它家的威胁情报订阅系统STAXX,就把玩了一下。

0x01 威胁情报标准

大名鼎鼎的STIX、CybOX和TAXII,网上有很多资料,懒的找的话可以邮件向我索取一些我之前收集的相关资料,当然,如果我不犯懒的话,会回应邮件的。:)

0x02 STAXX配置

既然是把玩,就不一板一眼的翻译官档了。

从ANOMALI的官网上可以直接下到STAXX的虚拟机文件,双击直接安装完成。开启机器后在页面上显示主机账号密码以及URL。

浏览器登录系统后,使用页面上提示的账号密码进入WEB端,一路配置到第三步

这里官档提供了一个免费的feed server,我有找了一个一起提供给大家。

http://hailataxii.com/taxii-discovery-service guest/guest
https://intelfeed.malwerewolf.com/taxii-discovery-service guest/guest

如果你有更多的feed server也希望能够喵我,让我也能订阅到更多的信息。

订阅成功后,就到第5步,这里选择需要订阅的具体条目,以及订阅刷新时间,ident等配置信息。

订阅好后,记得去配置(右上角齿轮一样的图标)里刷新一下,过一会儿,就可以在面板里查看pull到的信息了。

0x03 DASHBOARD

上面五颜六色的就是订阅到的信息,左起第一幅图是不同时间段提供的指示器信息,有包括钓鱼网站URL、apt URL、恶意邮件、洋葱ip、cc等等信息,我们点击一个apt URL来看一下:

点击相应的URL就可以进入到ANOMALI网站下查看详细信息。

左起第二幅图是一个安全态势的查看,可以查阅当前情报不同危险等级的数量。

第二列第一幅图是信息来源的统计,紧接着是标签统计和可信度的分析。

0x04 ACTIVITY & IMPORT

这个版面提供动态查看情报的功能,并且支持数据导出,如果你有自己的feed收集器,也可以通过这里把自己的威胁情报信息push给其他的服务器使用。

另外在IMPORT可以自定义导入TXT文本做解析,如下:

不过它这里的文本匹配规则很迷,你可以随意喂给它一个TXT文本看看就知道了。

0x05 ## 小结

作为开源软件,STAXX还是有它的亮点,提供简便的威胁情报标准订阅,以及简洁的图表分析。不过,这种功能暂时看来又有些鸡肋,从公共威胁情报来说,开放的feed不是太多,从私有威胁情报来说,部署一整套完整的威胁收集到分析系统性价比又值得商榷。而且,对于普通的公司来说,每天分析这么多来自于全世界的威胁信息恐怕也不现实吧~~


FROM : phantom0301 | Author:phantom0301

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月17日11:22:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  ANOMALI STAXX威胁情报订阅分析系统把玩 http://cn-sec.com/archives/1013066.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: