還記得昨天提到的API Key嗎？今天我們要用這組API KEY將Critical Stack Intel加入Security Onion洋蔥，如果沒寫下來的話也可以登入Critical Stack Intel 網站，選擇Sensors，就會看到我們創建的Sensor和API KEY。

Critical Stack Intel網站有寫安裝步驟，基本上只有幾個指令，首先輸入：

curl https://packagecloud.io/install/repositories/criticalstack/critical-stack-intel/script.deb.sh | sudo bash

接著輸入指令安裝：

sudo apt-get install critical-stack-intel

安裝成功的話，可以輸入critical-stack-intel –version 看到版本訊息。但是這邊在LAB環境測試的時候發現沒有那麼順利？遇到錯誤訊息﹝E: unable to locate package﹞，所以我換一種手動的方式安裝，首先轉換資料夾，直接下載.deb package

cd /tmp
curl https://intel.criticalstack.com/client/critical-stack-intel-amd64.deb --output critical-stack-intel-amd64.deb

接著讀取.deb package

sudo dpkg -I ./critical-stack-intel-amd64.deb

讀取順利後進行安裝

sudo apt-get install -f
sudo apt-get install critical-stack-intel

用以下指令測試一下，這時候會顯示critical-stack-intel可用的指令：

critical-stack-intel –help

最後，用API KEY啟動Critical Stack Intel，：

sudo critical-stack-intel api <輸入API KEY>

可以用以下指令讀取feed，因為預設值是每一個小時讀取一次

sudo critical-stack-intel pull

也可以看目前訂閱的feed有那些

sudo critical-stack-intel list

安裝完畢後，會看到Bro在/nsm/bro/logs資料夾產生intel.log這個檔案，也會在Kibana的Intel面版開始看到資訊。

到此便完成融合召喚，Bro會融合來自Critical Stack Intel的威脅清資Threat Intelligence Feed，進行偵測、分析。原本我想繼續玩，試看看可否繼續加入更多的開源威脅情資Feed，幸好研究一段時間後，驚覺到自己犯下老闆、主管們常犯的錯誤，便趕緊打住。

什麼錯誤呢？老闆、主管常常會想：既然有威脅情資之後可以知己知彼，加強偵測分析能力，那我們應該多多益善，多加些feed，花錢的商業feed也買，開源免費的feed也加，但是威脅情資Threat Intelligence其實是貴精不貴多，有些威脅情資feed本身已經包含其他的feed﹝尤其是特別花錢訂閱的feed可能已經包含部分開源的feed﹞，所以什麼都訂閱的情況下會得到重複資訊；再者威脅情資本身必須持續更新，如果久久才增加新資訊，難以對應不斷變化的威脅；威脅情資也不是百分之百正確的，偶有出錯的情況，將正常URL定為惡意，造成資安設備誤判；最後，很多威脅情資的資訊可能和自己要保護的網路環境關聯性不大，好比籃球比賽前蒐集對手資訊，找來每一個球隊的大量錄影帶，但是真正賽事時根本不會遇上這麼多隊，疲於分析處理資料，突耗時間精力。

怎麼樣得到和自己要保護的網路環境相關聯的對手資料呢？明天就來介紹Honeypot蜜罐。

Threat Intelligence Feeds: Overview, Best Practices, and Examples
https://www.recordedfuture.com/threat-intelligence-feeds/