freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

攻防利器 | openCTI开源威胁情报管理平台的思考与详细部署
2024-09-04 18:59:20

前言:

最近公司刚做了安全成熟度评估,结果显示为缺乏安全工具的支撑,例如bas、hids、hips、sip、数据dlp、零信任等等,众所周知,企业对于安全方面的投入,一年花个四五百万的都算是少了,不想花钱,又害怕开源的软件集成后存在安全风险,那就只有部署一些对现有环境没有影响,且不会导致公司信息泄露的开源软件,于是所有矛头对准了开源的威胁情报平台。

国内的,在线的威胁情报平台

微步在线:https://x.threatbook.com/

腾讯哈勃:https://habo.qq.com/

奇安信:https://ti.qianxin.com/

安图星云:https://ti.dbappsecurity.com.cn

斗象:https://vip.riskivy.com/

深信服:https://sec.sangfor.com.cn/wiki-safe-events

安天:https://www.antiycloud.com/#/antiy/index

360大脑:https://ti.360.net/

华云安:https://vti.huaun.com/index/

知道创宇:https://www.seebug.org/

绿盟:https://www.seebug.org/

天际友盟:https://redqueen.tj-un.com/IntelHome.html

Venuseye:https://www.venuseye.com.cn/

以上威胁情报中心侧重于应急响应,提供的漏洞情报也偏向于国内的,用来做安全研究有些乏力。

国外的威胁情报平台

现在迫切的想要一种能够周期性获取国外的一些威胁情报,对此我研究了Brandefense、CTM360、MISP、opencti等,最终opencti在以报表的形式呈现出全球活跃漏洞、恶意软件、链接、ip、受害实体等以及与其他情报中心集成方面存在明显的优势,这对于企业而言,可以集中威胁情报,提高威胁搜索的效率;对于乙方,则可以利用活跃的漏洞,做成商业版漏扫,也可以使用恶意软件信息,做成杀毒软件等;对于应急响应而言,可以用来研究恶意行为者的行动计划和操作步骤;对于研究人员来说,opencti可以集成非常多的情报中心,知识库非常广。

Opencti

项目地址:

https://github.com/OpenCTI-Platform/opencti

指导文档(建议使用docker)

https://docs.opencti.io/latest/deployment/installation/#using-docker

Opencti问题解答:

https://app.slack.com

这玩意需要注册,然后在这个模块中提出你的问题,回复速度还是蛮快的

1725349544_66d6bea8b4ea919333b50.png!small?1725349545530











部署前的准备

单机

8核cpu

至少16G内存

150G存储,磁盘应挂在根目录下(如果你是默认安装的话)

Opencti部署

如果你以为照着操作文档傻瓜式部署就能摆平的话,那你就错了,没那么容易的,但也可能我的体质是遇上安装就报错,捣鼓了两三天才把东西装好,废话不多说,开干吧

1、先把你的服务器上的8080端口干掉,两个命令:

lsof -i :8080

kill -9 [进程ID]

2、跟着安装文档走,创建你的安装目录,我是装在/home/toos/opencti:

1725349716_66d6bf5492fa0c087d320.png!small?1725349716979







3、下载源码

git clone https://github.com/OpenCTI-Platform/docker.git

4、进入目录

1725349686_66d6bf369b79f6005f63f.png!small?1725349687047







5、创建.env文件,并将以下内容粘贴进去

OPENCTI_ADMIN_EMAIL=admin@opencti.io OPENCTI_ADMIN_PASSWORD=ChangeMePlease OPENCTI_ADMIN_TOKEN=a1c83e16-bec2-43f7-b86c-aa81cf9eb51a OPENCTI_BASE_URL=http://localhost:8080 MINIO_ROOT_USER=b73f74f4-cd5f-4081-ba72-d9b48e081bcb MINIO_ROOT_PASSWORD=e68d90e4-a2b6-4eaa-9e9f-ca252dd959e8 RABBITMQ_DEFAULT_USER=guest

RABBITMQ_DEFAULT_PASS=guest

ELASTIC_MEMORY_SIZE=4G CONNECTOR_HISTORY_ID=300c7840-a785-4cd6-a928-5d42f209e8f0 CONNECTOR_EXPORT_FILE_STIX_ID=ed8ff543-db18-49af-8d06-2eeb4ffa6cf2 CONNECTOR_EXPORT_FILE_CSV_ID=4b3c3046-e630-42fa-a9e2-cfa34992d9d6 CONNECTOR_IMPORT_FILE_STIX_ID=f646821f-0f5e-4986-adeb-35038463fc2f CONNECTOR_EXPORT_FILE_TXT_ID=16cbd712-70e2-4b70-89c6-47b89deed9ae CONNECTOR_IMPORT_DOCUMENT_ID=510dc64e-405e-4c76-a793-b70f89d2cd3e SMTP_HOSTNAME=localhost

注意:

OPENCTI_ADMIN_EMAIL和OPENCTI_ADMIN_PASSWORD是你的页面登录账号密码,OPENCTI_ADMIN_TOKEN是uuid,可以使用在线网站生成其他均保持默认

https://www.uuidtools.com/generate/v4#google_vignette),

6、ok现在将.env设置成环境变量,执行以下命令:

export $(cat .env | grep -v "#" | xargs)

7、执行env命令,可见环境变量添加成功

1725349780_66d6bf94ce08615451d1e.png!small?1725349781646














# 漏洞 # 黑客 # 漏洞分析 # 企业安全 # 灰产圈
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录