宜春新闻

ipfs矿机合租(www.ipfs8.vip):SOCasS(把SOC看成一种服务)的架构部署和手艺漫谈-下

来源:宜春新闻网 发布时间:2021-05-25 浏览次数:

<接上文>

0x05 WAZUH整合

现在,我们已经完成了SIEM的部门。是时刻将我们的解决方案从一个简朴的考察者转变为一个起劲的响应者了。我们所使用到的一个很主要的工具就是Wazuh。在本章节中,我们希望能让您领会这个工具的优势,以及若何部署和使用。本章节分为以下几个部门:

5.1 Wazuh服务端和agent的安装

Wazuh是一个免费的、开源的、企业级的平安监控解决方案,用于威胁检测、完整性监控、事宜响应及合规性。

你需要知道的一些界说:

Wazuh服务端:运行Wazuh manager、API和Filebeat。它从部署的agent网络和剖析数据。

Wazuh agent:在被监控的主机上运行,网络系统日志和设置数据、检测入侵和异常情形。它与Wazuh server举行对话,并将网络到的数据转发到该server举行进一步剖析。

5.1.1 Wazuh server架构简介

Wazuh架构基于运行在被监控主机上的agent,这些被监控主机上的日志将会转发到中央server。同时,还支持无署理装备(如防火墙、交流机、路由器、接入点等),可以通过syslog或定期探查其设置转变自动提交日志数据,随后将数据转发给中央server。中央server对吸收到的信息举行解码和剖析,并将效果转达给Elasticsearch集群举行索引和存储。

我们将使用单主机架构(HIDS),如下图所示:

有关其他架构的更多详细信息,可以查看官方文档:

https://documentation.wazuh.com/3.8/getting-started/architecture.html

5.1.2 Wazuh manager 、API和Filebeat安装

如下链接是wazuh安装先容的官方文档:

https://documentation.wazuh.com/3.12/installation-guide/installing-wazuh-manager/linux/ubuntu/wazuh_server_packages_ubuntu.html,wazuh-server-packages-ubuntu

安装后,必须要设置filebeat的设置文件:可以将filebeat毗邻到elasticsearch output 或logstash output 。在我们的例子中,我们将设置没有ssl验证的elasticsearch output(下图可以看到,只有告警模块被启用了)。

cd /etc/filebeat
nano filebeat.yml

现在将设置索引模板并启动3个服务:

filebeat setup — index-management
service filebeat start
service wazuh-manager start
service wazuh-api start

5.1.3 wazuh-agent安装

安装参考链接如下:

https://documentation.wazuh.com/3.12/installation-guide/installing-wazuh-agent/linux/ubuntu12.04-or-greater/wazuh_agent_package_ubuntu12.04_or_greater.html,wazuh-agent-package-ubuntu12-04-or-greater

检查wazuh-agent是否正常运行:

5.1.4 安装wazuh app并与Kibana整合

这个app将成为Wazuh server和我们之前安装ELK的Kibana之间的桥梁。这个app只在github客栈中提供,不在官网上提供。我们将安装的wazuh app是与ELK Stack 7.6.1兼容的(这点很主要)。

cd /usr/share/kibana
sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.12.2_7.6.1.zip

建议增添Kibana的heap巨细,以保证插件的安装效果:

cat >> /etc/default/kibana << EOF
NODE_OPTIONS=” — max_old_space_size=2048"
EOF

重启Kibana:

systemctl restart kibana

可以在这个网站上查看所有可用的app版本:

https://github.com/wazuh/wazuh-kibana-app

现在在kibana中,你应该看到在kibana的左边标签中泛起了wazuh的符号。点击它,wazuh的api将会打开。花一些时间去探索它,你应该获得类似下图的内容。然则现在不会有任何agent毗邻到它。接下来的内容我们将讨论若何毗邻agent。

5.1.5 毗邻和设置agents

注册agent的方式有许多。在本文中,我们将使用手动方式。

在Wazuh manager的主机下令行中,我们将运行manage_agents来添加agent。在本例中,我们将添加一个新的agent。行使下令如下:

/var/ossec/bin/manage_agents

选择添加agent,输入A并回车。然后我们输入我们要给我们的机械取的名字,在本例中是user1。

我们键入终端装备的IP(注重,若是你没有终端装备的静态IP地址,你可以用要害字(any)取代IP地址)。
完成后,回车。现在我们要提取秘钥,使我们的agent能够毗邻到wazuh server。选择E选项并提取一个agent的密钥,然后我们输入agent的id,本例中我选择了id为001的agent。

在Wazuh manager的主机中添加了agent后,以root用户身份在agent主机中打开一个会话。之后,让我们导入密钥并将agent毗邻到manager。下令如下:

/var/ossec/bin/manage_agents -i “Your_Secret_key”

输入y,回车,应该能获得一个效果:

另有一个步骤,编辑/var/ossec/etc/ossec.conf中的Wazuh agent设置,添加Wazuh server的IP地址。在<client><server>部门,将manager_IP值改为Wazuh server地址。Wazuh server的地址可以是IP地址或DNS名称。</server></client>

5.1.6 检查吸收到的数据

要检查ELK是否从wazuh server吸收数据。进入索引治理(Index Management)。应该获得类似下图的内容(wazuh-alerts和wazuh-monitoring):

5.2 Wazuh自动响应

Wazuh提供了一个自动响应模块来处置在Wazuh-manager上设置的特定警报的自动响应。自动响应是一个剧本,被设置为在特定告警、告警级别或规则组被掷中时执行。自动响应是指有状态响应或无状态响应。有状态响应被设置为在指准时间后可撤消,而无状态响应则被设置为一次性动作。

例如,若是我们想凭证终端装备传过来的某些日志(显示RDP/SSH正在被暴力破解攻击),去阻断某些ip。我们可以确立一个自动响应,当攻击者的行为与存储在Wazuh上的规则集相匹配时,它就会阻止攻击者的IP。

我们将以SSH的暴力破解为例:我们将把8次登录失败视为一次攻击的实验。当这个事宜发生时,规则 "5712 — SSHD brute force trying to get access to the system"将被触发。因此,阻断IP的下令就会被执行。

首先,我们需要界说我们将用于响应的下令。

OSSEC自带了一套用于自动响应的常用剧本。这些剧本在机械的/var/ossec/active-response/bin/目录下。我们将使用firewall-drop.sh剧本(该剧本应该可以在常见的Linux/Unix操作系统中使用),它允许使用内陆防火墙阻止恶意IP。
在OSSEC Manager的ossec.conf中界说下令:

nano /var/ossec/etc/ossec.conf

接下来,在统一个文件中,我们设置OSSEC来运行自动响应。主要的字段有:

-command: 之前界说的下令 (firewall-drop);

-location: 下令的执行位置-我们希望在agent上执行,上报事宜。因此,我们使用local

-rules_id: 若是规则5712被触发,下令就会被执行;

-timeout: 在防火墙(iptables,ipfilter等)上封禁IP 60秒。

随后保留修改并关闭文件。用如下下令重启wazuh-manager:

Service wazuh-manager restart

在wazuh-agents主机上,别忘了修改ossec.conf设置文件并添加:

<active-response>
<disabled>no</disabled>
</active-response>

现在,你可以实验在安装了Wazuh agent 的主机上举行SSH暴力破解测试,在8次登录失败后,你的ip将被封禁60秒。
关于Wazuh自动响应的更多细节,可以查看如下链接:

https://documentation.wazuh.com/3.7/user-manual/capabilities/active-response/how-it-works.html

0x06 告警

本章节将涵盖我们SOCaaS解决方案中的告警部门。众所周知,告警在通知平安响应团队上施展着很主要的作用。因此,他们可以凭证企业和团队的决议,中止'cyber kill chain'(网络杀伤链)或监控该攻击进一步动作。你可能好奇,为什么需要笼罩这么多告警,Open Distro的告警模块还不够吗?确实,这是由于Open Distro在输出数目上,以及与其他解决方案(如Thehive)的可集成性方面都较为欠缺。因此,我们将先容其他替换方案。

6.1 ElastAlert、ElastAlert-Server和Praeco的安装设置

6.1.1 先容

(1) 界说

Praeco:可以跟有通知选项的工具举行告警设置,包罗 Slack, e-mail, Telegram, Jira等。

Praeco中的告警可以通过使用查询天生器选摘要告警的字段及其相关操作符来组装,也可以使用Kibana查询语言(KQL)手动组装。

ElastAlert:是一个用于对 Elasticsearch 中数据的异常、峰值或其他感兴趣的内容举行告警的简朴框架。它的事情原理是将Elasticsearch与规则类型和告警这两类组件相连系。Elasticsearch被定期查询,数据被转达给差其余规则类型,规则类型决议何时发现匹配。当匹配发生时,会被赋予一个或多个告警,告警会凭证匹配情形接纳行动。
这是由一组规则举行设置的,每个规则界说了一个查询、一个规则类型和一组告警。

Sigma规则:Sigma是一种通用和开放的署名花样,它允许你以一种直接的方式形貌相关日志事宜。该规则花样异常天真,易于编写,适用于任何类型的日志文件。这个项目的主要目的是提供一种结构化的花样,研究职员或剖析职员可以用这种花样来形貌他们曾经开发的检测方式,并使之可以与他人共享。

(2) 项目cloning

cd /etc
git clone https://github.com/Yelp/elastalert.git
git clone https://github.com/ServerCentral/elastalert-server.git
git clone https://github.com/ServerCentral/praeco.git

更多信息查看如下链接:

https://github.com/ServerCentral/praeco

6.1.2 Elastalert设置

cd /etc/elastalert
mkdir rules rule_templates
cp config.yaml.example config.yaml
nano config.yaml

elastalert 设置文件config.yaml的设置如下:

es_host: localhost
writeback_index: elastalert_status
, 将rules_folder设置为rules
rules_folder: rules

注重:若是你运行的是python 2.7版本,必须改成3.6版本。

(1) Ubuntu上安装python 3.6:

sudo add-apt-repository ppa:deadsnakes/ppa
sudo apt update
sudo apt install python3.6

(2) 更新python设置:

sudo update-alternatives — install /usr/bin/python python /usr/bin/python2.7
sudo update-alternatives — install /usr/bin/python python /usr/bin/python3.6

(3) 更改python默认版本:

update-alternatives — config python

选择python 3.6,如下图所示:

现在默认版本应该是python 3.6了。

(4) 安装pip3:

sudo apt install python3-pip

(5) 还要安装PyYAML(本例是5.1版本):

pip install PyYAML==5.1

(6) 安装Requirement和elastalert:

cd /etc/elastalert
pip3 install “setuptools>=11.3”
python setup.py install

(7) 确立索引:

cd /usr/local/bin/
./elastalert-create-index

安装时,下令终端中的几个选项:

ES Host : localhost
ES Port : 9200
Use ssl : t
Verify ssl :f

我们将使用默认的ES用户名和密码 : admin/admin,其他问题直接默认:

6.1.3 API server设置

/etc/elastalert-server/config/config.json中使用如下设置去设置API server:

  • elastalertPath(设置成你的elastalert目录的绝对路径):/etc/elastalert
  • es_host(你的elasticsearch实例地址):elasticsearch
  • writeback_index(与config.yaml中一样):elastalert_status

(1) Alert Logs的相关问题清扫(没有数据):

该问题的缘故原由是:日志告警回写索引的元数据处置程序正在搜索带有_type的elastalert文件。自 7.x 以来,不会返回任何效果,由于所有文件都有一个 _doc的 _type。

因此,在您的Alert Logs中(后期在Praeco界面),看不到任何数据。
以是必须执行如下下令:

cd /etc/elastalert-server/src/handlers/metadata/
nano get.js

删除包罗type: 'elastalert'的行。现在应该能够在praeco界面上看到告警日志。

(2) Elastalert-Server安装:

sudo npm install
sudo npm run start

若是乐成启动,应该看到下图的这一行(有个warning忠告是由于不平安的毗邻SSL_verify = False发生的)。

6.1.4 Praeco设置

(1) 更改设置文件:

cd /etc/praeco/config
nano api.config.json
nano elastalert.yml

(2) 安装Praeco:

sudo npm install

export PRAECO_ELASTICSEARCH=localhost

(3) 复制BaseRule.cfg:

在最先服务之前,需要执行如下下令:

cp /etc/praeco/rules/BaseRule.config /etc/elastalert/rules/

此文件包罗Slack、SMTP和Telegram的设置,这里我们将添加0x03章节中使用的Slack Webhook URL。

cd /etc/elastalert/rules/
nano BaseRule.config

添加Webhook URL:

(4) 启动Praeco:

npm run serve

现在,您应该在 http://yourServerIP:8080 上看到正在运行的页面,这是你的Praeco界面。

6.2 规则确立

6.2.1 使用Praeco界面确立规则,并将其发送到slack webhook

Navigate to Rules -> Add Rule:

现在,可以看到确立规则异常类似于Open Distro告警工具,我们将过滤告警并指定目的地。

点击 "UNFILTERED",手动或使用预建工具指定过滤器。然后单击 "Close"。

我们将使用Slack举行通知,使用与0x03章节中使用的Webhook URL,以及相同的频道( ,test)。

点击'Save'。你的告警默认启用。

我们可以检查告警是否乐成发送到Slack。

在我们的slack频道中:

6.2.2 从ElastAlert向TheHive发送告警

不外遗憾的是,Praeco无法直接将告警输出到 TheHive,以是我们得手动编辑我们的规则,并使用elastalert-server发送。有了这个变通方式(使用Elastalert-server),规则将在后台正常事情,也将泛起在Praeco界面上。然则,我们将无法使用Praeco界面编辑或设置它们。

(1) 确立一个规则:“User_creation”:

首先,我们将像之前一样从Praceo界面确立我们的规则,在HTTP输出中我们先指定any URL,之后会删除。
完成后点击Save。

(2) 发送告警到Thehive:

添加TheHive设置,保留并重启Elastalert-Server,进入/etc/elastalert/rules目录:

nano User_creation.yml

(3) 在Praeco中检查告警:

告警已经乐成发送到TheHive。然则遗憾的是,正如我们之前所提到的,Praeco界面无法编辑该规则,必须在/etc/elastalert/rules中手动编辑。

(4) 在TheHive界面中检查告警:

6.3 获得Sigma工具的辅助,以确立规则

如前文所述,Sigma工具辅助我们将sigma规则转换成多种花样,包罗Elastalert。
项目URL与详细步骤见如下链接:https://github.com/Neo23x0/sigma.git

(1) 下载Sigma

,

USDT场外交易

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,
cd ~
git clone https://github.com/Neo23x0/sigma.git

(2) 使用Sigma确立告警

cd ~/sigma/tools
pip3 install -r requirements.txt

执行下令如下(用示例规则举例):

./sigmac -t elastalert -c winlogbeat 
../rules/windows/builtin/win_user_creation.yml

遗憾的是,由于缺少几个字段,此规则不能被 ( Praeco/Elastalert-Server ) 直接使用。因此,您可以从该规则(查询字符串)中选择要害字,并使用这些要害字信息在 Praeco 界面确立自己的规则。这个工具异常主要,由于它可以辅助我们网络大量规则及其查询字符的要害字。

注重:有时必须在(Kibana → Discover页面)中检查日志及其字段,以确保日志中的名称字段与Sigma规则中的名称字段相匹配。若是你的字段显示黄色错误,进入索引模式,选择匹配的索引,然后点击刷新字段。

6.4 发送Wazuh的告警到TheHive

我们将使用前文提到的相同方式来处置wazuh告警,首先我们使用praeco界面确立wazuh-alerts,然后我们手动编辑规则文件来添加theHive 输出。

(1) 确立一个wazuh规则并保留:

我们已经使用rule.id来过滤规则(可以选择任何其他字段),可以在wazuh → Overview → Security events下获取规则id。

(2) 编辑规则然后重启elastalert-server:

nano /etc/elastalert/wazuh-alert-TEST.yaml

(3) 检查告警:

0x07 讲述

为了减轻企业网络威胁和攻击,应时常在系统上执行破绽测试并修复平安问题。因此,您可以想象,“讲述”事情在任何SOC中都异常主要,由于可以概述系统中可能存在的破绽。

在本节中,我们将提供有关我们在“讲述”事情和破绽扫描中使用的工具及相关看法。本节包罗以下几个部门:

  • 相关先容
  • 安装Nessus essentials版本
  • VulnWhisperer的安装

7.1 先容

我们将使用到的工具:

  • VulnWhisperer:VulnWhisperer是一个破绽治理工具和讲述聚合工具。将从差异破绽扫描工具中提取讲述,并为每个文件确立一个唯一文件名。

    项目地址:https://github.com/HASecuritySolutions/VulnWhisperer

  • Nessus essentials:Nessus Essentials(以前称作Nessus家庭版),是Nessus主机破绽扫描的一个免费版本。

7.2 安装Nessus essentials

7.2.1 下载

从官网(www.tenable.com)下载,在我们的项目中,使用下图符号的这个版本:

7.2.2 Nessus安装

dpkg -i Nessus-8.10.0-ubuntu910_amd64.deb
/etc/init.d/nessusd start
service nessusd start

浏览器接见https://YourServerIp:8834,选择“**Nessus Essentials**”:

7.2.3 激活Nessus

复制邮箱中的activation code(激活码),确立一个账户,随后守候Nessus准备完成。

7.2.4 运行第一次扫描

点击New Scan → 选择Basic Network Scan,

选择你要扫描的目的,保留随后运行。

7.3 安装VulnWhisperer

7.3.1 使用Python2.7

VulnWhisperer基于Python2.7,以是我们需要更改系统的Python默认版本。

7.3.2 设置VulnWhisperer

cd /etc/
git clone https://github.com/HASecuritySolutions/VulnWhisperer
cd VulnWhisperer/
sudo apt-get install zlib1g-dev libxml2-dev libxslt1-dev
pip install -r requirements.txt
python setup.py install
nano configs/ frameworks_example.ini

设置文件中选择你想启用的模块(在我们的项目中就仅启用了Nessus),虽有填写你的Nessus账户凭证:

7.3.3 检查Nessus是否联通及讲述下载

vuln_whisperer -F -c configs/frameworks_example.ini -s nessus

, 讲述将以csv拓展名花样保留,在如下目录中检查讲述:
/opt/VulnWhisperer/data/nessus/My Scans/

若是不是新讲述,下令运行后显示内容如下图所示:

7.3.4 设置Vulnwhisperer准时义务

为了使Vulnwhisperer检查Nessus数据库并定期下载讲述,我们将添加一个准时义务。因此,我们就不用再手动执行下令了,将最新的讲述直接自动添加到Kibana。

crontab -e

添加以下内容:

SHELL=/bin/bash
* * * * * /usr/local/bin/vuln_whisperer -c /etc/VulnWhisperer/configs/frameworks_example.ini >/dev/null 2>&1

7.3.5 导入Elasticsearch模板

到kibana Dev Tools,随后点击add template:

模板文件下载链接:

https://github.com/HASecuritySolutions/VulnWhisperer/blob/master/resources/elk6/logstash-vulnwhisperer-template_elk7.json

完成后,现在Index Templates中应该已经有了一个模板。

7.3.6 导入Kibana可视化文件

点击 Kibana → Management → saved object → Import,导入kibana.json设置文件:在VulnWhisperer/resources/elk6/kibana.json下,文件下载链接如下:

https://github.com/HASecuritySolutions/VulnWhisperer/blob/master/resources/elk6/kibana.json

现在在Dashboards,应该可以看到如下两项:

7.3.7 添加Nessus Logstash设置文件

将Nessus Logstash文件复制到/etc/logstash/conf.d/中:

cd /etc/VulnWhisperer/resources/elk6/pipeline/
cp 1000_nessus_process_file.conf /etc/logstash/conf.d/
cd /etc/logstash/conf.d/
nano 1000_nessus_process_file.conf

修改output如下:

7.3.8 重启服务随后检查讲述

systemctl restart logstash elasticsearch

现在你应该为Vulnwhisperer确立了一个新索引:

转到Index pattern,检查你的字段编号:

Note:刷新index pattern以识别所有字段。

最后,到Dashboards 并查看讲述。这时,可视化页面应该没有任何错误。

现在,Nessus天生的所有.csv扩展名的讲述都将自动发送到你的ELK Stack。因此,就可以在kibana仪表盘下对其举行可视化了。

0x08 事宜治理

在本节中,我们把最难题的部门放在本节中。将先容SOC的事宜治理部门:我们已经使用了2种开源手艺——TheHive和Cortex。

TheHive将用作我们项目的告警治理平台,该平台可以治理从确立到关闭的告警事宜。同时,Cortex是与TheHive统一个团队开发的弥补产物,使用“剖析器(analyzers)”和“响应器(responders)”对数据举行弥补。

本节内容分为以下几个部门:

  • TheHive和Cortex的安装和设置;
  • TheHive和Cortex仪表盘的演示;
  • 将Cortex与TheHive集成;
  • 安装MISP并将其与TheHive集成;
  • 排查:事宜治理。

8.1 TheHive和Cortex的安装和设置

我们部署的版本是:TheHive 3.4.0-1和Cortex 3.0.1-1。

TheHive需要Elasticsearch才气运行。为此,我们选择使用docker-compose在Docker容器中一起启动它们。若是你不想使用Docker,也可以手动安装和设置Elasticsearch。

有关更多详细信息,参阅:

https://github.com/TheHive-Project/TheHiveDocs/blob/master/installation/install-guide.md

None: TheHive使用ElasticSearch来存储数据,两款软件使用的都是Java VM。推荐使用8核的CPU、8GB内存和60GB硬盘存储的虚拟机,固然也可以直接使用相同设置的物理机举行部署。

我们使用以下docker-compose.yml文件在3个差其余容器中一起启动Elasticsearch,TheHive和Cortex:

version: "2" 
services: 
  elasticsearch: 
    image: elasticsearch:6.8.0 
    ports: 
      - "0.0.0.0:9200:9200" 
    environment: 
      - http.host=0.0.0.0 
      - cluster.name=hive 
      - thread_pool.index.queue_size=100000 
      - thread_pool.search.queue_size=100000 
      - thread_pool.bulk.queue_size=100000 
    ulimits: 
      nofile: 
        soft: 65536 
        hard: 65536 
  cortex: 
    image: thehiveproject/cortex:3.0.1 
    depends_on: 
      - elasticsearch 
    ports: 
      - "0.0.0.0:9001:9001" 
  thehive: 
    image: thehiveproject/thehive:3.4.0 
        depends_on: 
      - elasticsearch 
      - cortex 
    ports: 
      - "0.0.0.0:9000:9000" 
    command: --cortex-port 9001

复制粘贴保留到docker-composer.yml文件中,随后执行如下下令:

sudo sysctl -w vm.max_map_count=524288

最后运行:

docker-compose up

TheHive监听9000/tcp端口,Cortex监听9001/TCP端口。这些端口可以通过修改docker-compose文件来更改。

可以使用如下下令查看确立的容器:docker ps –a

检查Elasticsearch是否可联通:

现在一切都已设置好,让我们看一下TheHive仪表板。

8.2 TheHive和Cortex仪表盘的演示

浏览器接见http://YOUR_IP:9000:

注重:若是要在云主机上安装,不要遗忘为9000、9001和9200端口设置规则铺开。

点击Update Database,并确立一个治理员用户:

使用该用户登录:

下图就是TheHive主要的Dashboard:

现在让我们检查下Cortex的Dashboard:

浏览器接见:http://YOUR_IP:9001:

点击Update Database,并确立一个治理员用户登录(跟前文TheHive的步骤一样)。

Cortex的事情方式是,你当前的用户可以确立组织和用户,然则必须以组账户登录才气启用

和治理Analyzers(剖析器)。

通过单击页面上的” 添加组织“按钮来确立新的组织:

现在切换到”用户“标签,随后点击” 添加用户“,将新用户分配给你确立的组织,并赋予他们组织治理员的角色。保留后,为刚确立的用户点击”新密码“,然后输入密码,点击Enter保留。现在,注销并以新用户身份重新登录。点击页面顶部的”Organization(组织)“选项:

现在,点击组织中的Analyzers选项卡(不是页面顶部的Analyzers)。若是Cortex准确设置了,应该就可以看到 Analyzers(剖析器)。到今天为止,我有124个可用的Analyzers:

现在让我们启用某些Analyzers以供后续使用,保留默认设置。某些Analyzers需要API密钥,因此请确保在设置这些Analyzers时提供准确的信息。

8.3 将Cortex与TheHive集成

点击组织中的Users选项卡,然后确立一个新用户以与TheHive集成。这个用户应该有读和剖析的角色。这次不为用户设置密码,而是票据”确立API密钥“并复制密钥。现在回到终端,通知所有运行的容器,在主目录中确立一个文件,并命名为application.conf:

cortex { 
  "CORTEX-SERVER-ID" { 
    , URL of the Cortex server 
    url = "http://172.18.0.3:9001" 
    , Key of the Cortex user, mandatory for Cortex 2 
    key = "nBqA7B6BYc1kHhgAXZOYoXjBnt5vlCgM" 
  } 
}

url参数是http://你cortex容器的ip:cortexPort(可以使用`docker inspect <id-container>下令检索容器ip),key参数是适才确立的api密钥。保留该文件,随后修改docker-compose.yml`文件,在TheHive的设置部门,添加:</id-container>

volumes:
- /home/your_user/application.conf:/etc/thehive/application.conf
......
command:
--cortex-key (上一步使用的相同api_key )

保留文件并退出编辑器,随后再次运行docker-compose up

在所有容器启动起来后,回到TheHive的dashboard,点击账户onglet下的”about“,应该可以看到与下图相同的信息:

现在,我们已乐成将Cortex与TheHive集成在一起了。

8.4 安装MISP并将其与TheHive集成

8.4.1 安装MISP

1.sudo apt-get update -y && sudo apt-get upgrade -y
2. sudo apt-get install mysql-client -y
3.curl https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh -o misp_install.sh
4.chmod  x misp_install.sh
4. ./misp_install.sh -A

当安装历程中询问baseurl 时,输入你的IP:https://YOUR_IP/,

当询问确立一个“misp”用户时,输入“y”。

PS:别遗忘在你的机械上开启80和443端口。

安装完成后,浏览器接见https://your_ip/,可以看到登录页面:

使用默认用户名密码登录(admin@admin.test / admin),随后输入新密码用户更改默认密码。

启用MISP集成

浏览器接见MISP的web页面,点击治理 -> 添加用户,向用户发送电子邮件,例如:cortex_integration@admin.test,随后将用户添加到ORGNAME组织,角色选择user,作废选中底部的所有复选框,复制用户的AuthKey。

随后转到Cortex > Organization > Analyzers,在搜索框输入“misp”,启用“MISP_2_0”,为MISP服务器指定一个形貌性名称,url框输入你的MISP IP,key输入确立MISP用户的密钥(AuthKey),cert_check选择“False”:

现在,接见MISP的web页面 > Sync Actions > List Feeds。找到一个你已经订阅的feeds,点击右边的放大镜按钮,在列表中选择一个ip并复制。

现在在Cortex中,点击” New Analysis“,添加一个IP的数据类型,并粘贴适才复制的IP。

选择The MISP_2_0 analyzer and run。在义务历史纪录页面,点击”View“,你应该看到你复制的IP的列表名称以及该列表提供的其他信息。

可以进入TheHive,把这个IP作为一个考察点,举行测试。

8.5 排查:TheHive的事宜治理

TheHive的焦点结构就是排查事宜。TheHive旨在使剖析职员更轻松,并确保从事此事情的团队成员之间更好的明白。这是至关主要的,由于事宜排查似乎大多数平放置查的焦点结构,无论是查看告警、对恶意软件举行你想照样处置应急响应事宜。

你可以在事宜中添加标签以举行快速的搜索和过滤。还可以评估事宜的严重性,跟踪TLP级别,这样可以辅助治理和促进数据共享。事宜中的所有数据很容易从页面顶部的搜索栏中搜索出来。这样可以更轻松地确定你当前正在考察的流动是否存在于先前早期的事宜中。

你也可以通过导入告警来确立事宜。若是两个告警共享一个链接,可以选择将这个告警添加到现有的事宜中,而不是天生一个新的事宜。

事宜确立完成后,可以最先为它设置tasks(义务)。tasks(义务)可以是任何器械,但我们建议用他们来跟踪排查事宜问题。

此外,多个剖析职员可以同时处置统一事宜。例如,一个剖析职员可能会处置恶意软件的剖析,而另一个剖析职员可能会在同事添加IOCs(失陷指标)后,立刻在署理日志上跟踪C2 beacon流动。

事宜模板

随着SOC的生长,界说处置手册变得至关主要,它可以辅助剖析师一致地处置具有配合属性的排查。例如,在最初观察一系列的密码爆破登录失劣行为或钓鱼邮件时,我们接纳的排查步骤通常是类似的。若是能确定这些步骤,你就会有一个很好的劈头来培训新的剖析职员,并确保大多数观察是在一个同等的基础上最先的。TheHive提供了一个怪异的事宜模板系统,允许界说常见的排查步骤并预先填充事宜的元数据和义务。

在上图的例子中,我们界说了一个与破绽行使工具包流动有关的排查模板。现在,当我确立一个新事宜时,我可以选择这个模板,你所看到的所有信息都市预先填充到事宜的细节中。真正适用的是在事宜发生之前自动确立一系列tasks(义务)的能力,这基本上就是为我们定制了操作处置手册,这样,就可以自动填充守候的义务行列,从而使其他剖析职员能够直接介入排查,或最先完成控制和消除的义务。

此外,TheHive支持在事宜的上下文中为有趣的可考察工具确立单独的条目。可考察的是任何有趣的数据工件。TheHive内置了几种常见的可考察类型:包罗IP地址、域名、HTTP URI等。固然,您还可以界说自己的类型,从而使该功效加倍天真使用。

跟踪观察值有许多利益,显而易见的一点是,你可以在后续的观察中搜索他们,以引入更多的前因后果。还可以将它们导出,以便以后导入黑名单、白名单或检测机制。最后,您可以使用内置的Cortex集成将观察值自动提交给随便数目的OSINT研究站点。这是一个异常简朴的历程,而且仅需要您为将要使用的每个服务输入API密钥。一些现有的集成包罗Passive Total、Virus Total和Domain Tools。

准备好关闭事宜时,请单击事宜题目栏中的“关闭”按钮:

你还可以把事宜的性子设为真阳性(true positive),假阳性(false positive)等等…

0x09 写在最后

原文链接:https://medium.com/@ibrahim.ayadhi/deploying-of-infrastructure-and-technologies-for-a-soc-as-a-service-socass-8e1bbb885149

文中固然有许多翻译欠妥、笔误的内容,迎接读者指正。谢谢。

<全文完>

IPFS矿机

IPFS矿机官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS矿机官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片