iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 25
2

還記得昨天提到的API Key嗎?今天我們要用這組API KEY將Critical Stack Intel加入Security Onion洋蔥,如果沒寫下來的話也可以登入Critical Stack Intel 網站,選擇Sensors,就會看到我們創建的Sensor和API KEY。

Critical Stack Intel網站有寫安裝步驟,基本上只有幾個指令,首先輸入:

curl https://packagecloud.io/install/repositories/criticalstack/critical-stack-intel/script.deb.sh | sudo bash

接著輸入指令安裝:

sudo apt-get install critical-stack-intel

安裝成功的話,可以輸入critical-stack-intel –version 看到版本訊息。但是這邊在LAB環境測試的時候發現沒有那麼順利?遇到錯誤訊息﹝E: unable to locate package﹞,所以我換一種手動的方式安裝,首先轉換資料夾,直接下載.deb package

cd /tmp
curl https://intel.criticalstack.com/client/critical-stack-intel-amd64.deb --output critical-stack-intel-amd64.deb

接著讀取.deb package

sudo dpkg -I ./critical-stack-intel-amd64.deb

讀取順利後進行安裝

sudo apt-get install -f
sudo apt-get install critical-stack-intel

用以下指令測試一下,這時候會顯示critical-stack-intel可用的指令:

critical-stack-intel –help

最後,用API KEY啟動Critical Stack Intel,:

sudo critical-stack-intel api <輸入API KEY>

可以用以下指令讀取feed,因為預設值是每一個小時讀取一次

sudo critical-stack-intel pull

也可以看目前訂閱的feed有那些

sudo critical-stack-intel list

安裝完畢後,會看到Bro在/nsm/bro/logs資料夾產生intel.log這個檔案,也會在Kibana的Intel面版開始看到資訊。

到此便完成融合召喚,Bro會融合來自Critical Stack Intel的威脅清資Threat Intelligence Feed,進行偵測、分析。原本我想繼續玩,試看看可否繼續加入更多的開源威脅情資Feed,幸好研究一段時間後,驚覺到自己犯下老闆、主管們常犯的錯誤,便趕緊打住。

什麼錯誤呢?老闆、主管常常會想:既然有威脅情資之後可以知己知彼,加強偵測分析能力,那我們應該多多益善,多加些feed,花錢的商業feed也買,開源免費的feed也加,但是威脅情資Threat Intelligence其實是貴精不貴多,有些威脅情資feed本身已經包含其他的feed﹝尤其是特別花錢訂閱的feed可能已經包含部分開源的feed﹞,所以什麼都訂閱的情況下會得到重複資訊;再者威脅情資本身必須持續更新,如果久久才增加新資訊,難以對應不斷變化的威脅;威脅情資也不是百分之百正確的,偶有出錯的情況,將正常URL定為惡意,造成資安設備誤判;最後,很多威脅情資的資訊可能和自己要保護的網路環境關聯性不大,好比籃球比賽前蒐集對手資訊,找來每一個球隊的大量錄影帶,但是真正賽事時根本不會遇上這麼多隊,疲於分析處理資料,突耗時間精力。

怎麼樣得到和自己要保護的網路環境相關聯的對手資料呢?明天就來介紹Honeypot蜜罐。

Threat Intelligence Feeds: Overview, Best Practices, and Examples
https://www.recordedfuture.com/threat-intelligence-feeds/


上一篇
NSM 27:邊吃洋蔥邊讀威脅情資Critical Stack Intel
下一篇
NSM 29:香甜可口的蜜罐Honeypot誘捕入侵者
系列文
學習網路安全監控的30天30

1 則留言

0
etsaycood
iT邦新手 4 級 ‧ 2018-11-12 17:03:24

原來可以這樣做!

我要留言

立即登入留言