iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 25
1
Security

學習網路安全監控的30天系列 第 27

NSM 27:邊吃洋蔥邊讀威脅情資Critical Stack Intel

在第二十天的《NSM 20: 偵測方法Signature vs Anomaly》文中曾經提到,可以用幾種方法彌補Signature-based分析的缺陷,其中之一便是Threat Intelligence 威脅情資。Threat Intelligence 威脅情資有許多不同來源,每一種feed的資料模式不同,有些是收集惡意程式的md5,有些是惡意的domain,有些是IP位址,有些是URL,有些是曾被用於釣魚的電子郵件信箱,也有C2 Server的資料 或整理好的IOC﹝Indicator of Compromise﹞,為了分析所需可能要收集好幾種不同的Threat Intelligence feed,那可不可以將這些Threat Intelligence的資料集中管理,和Security Onion洋蔥整合,幫助我們進行網路安全監控呢?

讓我們邊吃洋蔥,邊讀威脅情資的解決方法便是Critical Stack Intel。Critical Stack Intel提供一個平台整合不同的威脅情資feed,將資料集中傳遞到Critical Stack Intel Client,我們只要在Security Onion洋蔥上安裝這個Client,就可以將Security Onion洋蔥裡的Bro Log和Threat Intelligence威脅情資相互比對,藉由收集不同feed的資料,增加提供比對的特徵Signature,大幅加強資策分析能力。

我們先到Critical Stack Intel的網站註冊一個帳號。
https://intel.criticalstack.com/

我們看到目前有105個可供使用的Threat Intelligence 威脅情資feed,首先要創建一個Collection,Collection是讓我們訂閱威脅情資Feed的地方,我創建了 一個名為Collection One的Collection;接著要訂閱威脅情資feed,點選Add More Feeds,如下圖所示:
https://ithelp.ithome.com.tw/upload/images/20181111/20084806m1EXvdaJ0y.png

會出現很多不同的威脅情資feed可供選擇,可以照不同選項排列,例如最多訂閱的Most Subscribers,最受推薦的Highesr Rating等等,因為威脅情資feed通常有時效性,若沒有更新情資便沒辦法得到新威脅的資訊,所以最近加入Recently Added和最新更新Recently Updated的排列都可以試試。也可以直接點選右上角的”Subscribe to all feeds”訂閱全部的威脅情資feed。

接著創建Sensor,一個Sensor配一個Collection,我創建Sensor叫Security Onion1。創建Sensor後便會得到一組API Key,如下圖所示:
https://ithelp.ithome.com.tw/upload/images/20181111/20084806laDdjYc7jG.png

請記得這組API Key,明天我們要用這組API KEY將Critical Stack Intel加入Security Onion洋蔥。

Critical Stack //Intel Feed
https://intel.criticalstack.com/


上一篇
NSM 26:加入洋蔥戰隊吧!RITA (Real Intelligence Threat Analytics)
下一篇
NSM 28:融合召喚!Critical Stack Intel加Security Onion
系列文
學習網路安全監控的30天30

1 則留言

0
etsaycood
iT邦新手 4 級 ‧ 2018-11-14 10:27:54

選擇add more feeds,點subscribe後都沒反應...

改用Alienvaultu也可行~

Sergeyau iT邦研究生 3 級‧ 2018-11-14 12:46:13 檢舉

Alienvault也不錯~我也來試試

我要留言

立即登入留言