Acerca de ARTIF
ARTIF es un nuevo marco avanzado de inteligencia de amenazas en tiempo real que se basa en MISP y agrega otra capa de abstracción para permitir la identificación de tráfico web malicioso basado en direcciones IP y datos históricos. Además de esto, la herramienta puede realizar análisis automatizados y puntuación de amenazas al recopilar, procesar y correlacionar observaciones basadas en diferentes factores.
Características
Sistema de puntuación: Enriquezca la información de la dirección IP con metadatos de amenazas, incluidos los puntajes de amenazas, que se pueden usar como umbrales para que los equipos de seguridad tomen medidas.
Contenedorización: la herramienta utiliza contenedores para la implementación, por lo que es fácil de implementar.
Arquitectura modular: el proyecto se basa en complementos, que se pueden ampliar fácilmente modificando la fuente de amenazas en MISP y se pueden actualizar en línea en tiempo real sin que el servicio real deje de ejecutarse.
Alertas: la extensión se integra a la perfección con Slack para alertas proactivas.
Mejor análisis y visualización de ataques.
Escenas a utilizar
detección de amenazas
Registro y Monitoreo
perfil del usuario
Automatización de alertas
requisitos de la herramienta
Primero, necesitamos instalar MISP, que se puede instalar directamente desde el código fuente o usando una imagen de AWS preconstruida.
Una vez completada la instalación, debemos suscribirnos a maxmind para completar los metadatos de la IP. Aquí debemos editar docker-compose.yaml y agregar una subclave: maxmind:image: maxmindinc/geoipupdateenvironment:GEOIPUPDATE_ACCOUNT_ID: xxxxxGEOIPUPDATE_LICENSE_KEY: xxxxxxxxxxxxxxx
instalación de herramientas
Primero, necesitamos usar el siguiente comando para clonar el código fuente del proyecto localmente: git clone https://github.com/CRED-CLUB/ARTIF/
Luego cambie el directorio de trabajo al directorio raíz de ARTIF, cree Docker e inicie el contenedor de Docker: sudo docker-compose build sudo docker-compose up
Para instalar MISP, visite el Panel de MISP y obtenga la clave MISP. Luego edite el archivo config.yaml y agregue los valores de MISP_KEY y MISP_URL. MISP_KEY aquí es su clave MISP, y MISP_URL es la dirección URL que aloja MISP.
El siguiente es un config.yaml de muestra, puede reemplazarlo directamente con su valor correspondiente: credenciales:MISP_URL: "https://127.0.0.1"MISP_KEY: "qwertyuiopasdfghjk"
Ahora, ejecute el siguiente comando con la ruta absoluta completa más el parámetro "-s": python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py -s
Vuelva a ejecutarlo, esta vez sin el parámetro "-s": python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py
A continuación, agregue crontab utilizando el soporte integrado de Django: python3 manage.py crontab add
Inicie el servidor Django desde el directorio ip_rep: python3 manage.py runserver
Esto abrirá el puerto 8000, que se usa para obtener metadatos de las direcciones IP: curl 127.0.0.1:8000/ip/?ip=xxxx
El resultado es similar al siguiente: {“is_IoC”: false, “is_Active”: false, “metadata”: {“asn”: “AS165**”, “country”: “XXX”, “org”: “XXX ”}, "puntuación": 80.14671726301682, "descripción": "XXX", "listas negras": "", "tipo": "", "histórico": falso, veredicto": "No se necesita ninguna acción"}
demostración de la herramienta
Configure e inicie un contenedor Docker:
Activar ARTIF:
Ejemplo de uso de la herramienta
Necesitamos usar update_check.py para llamar a ARTIF: ubuntu@localhost:~/ARTIF/ip_rep/feed_ingestor$ python3 /home/user/ARTIF/ip_rep/feed_ingestor/update_check.py -husage: update_check.py [-h] [- s [S]] -k [TECLA] -m Argumentos opcionales del programa de reputación IP MISP:-h, --helpshow este mensaje de ayuda y exit-s [S]Requerido solo para la primera ejecución
También podemos ver trabajos cron ejecutando el siguiente comando: python3 manage.py crontab show
De manera predeterminada, la herramienta verifica MISP cada 24 horas y obtiene el último feed.
por fin
Comparta una forma rápida de aprender [Seguridad de la red], "quizás" el método de aprendizaje más completo:
1. Conocimiento teórico de la seguridad de la red (2 días)
① Comprender los antecedentes relacionados con la industria, las perspectivas y determinar la dirección del desarrollo.
②Aprenda las leyes y reglamentos relacionados con la seguridad de la red.
③El concepto de operación de seguridad de la red.
④Introducción de garantías múltiples, reglamentos de garantías, procedimientos y normas. (Muy importante)
2. Conceptos básicos de las pruebas de penetración (una semana)
①Proceso de prueba de penetración, clasificación, estándares
②Tecnología de recopilación de información: recopilación de información activa/pasiva, herramientas Nmap, Google Hacking
③Escaneo de vulnerabilidades, utilización de vulnerabilidades, principios, métodos de utilización, herramientas (MSF), Bypass IDS y reconocimiento antivirus
④ Simulacro de ataque y defensa del host: MS17-010, MS08-067, MS10-046, MS12-20, etc.
3. Conceptos básicos del sistema operativo (una semana)
① Funciones y comandos comunes del sistema Windows
② Funciones y comandos comunes del sistema Kali Linux
③ Seguridad del sistema operativo (resolución de problemas de intrusión del sistema/base de refuerzo del sistema)
4. Base de la red informática (una semana)
①Base, protocolo y arquitectura de la red
informática ②Principio de comunicación de red, modelo OSI, proceso de reenvío de datos
③Análisis de protocolo común (HTTP, TCP/IP, ARP, etc.)
④Tecnología de ataque de red y tecnología de defensa de seguridad de red
⑤Web principio de vulnerabilidad y defensa: ataque activo/pasivo, ataque DDOS, recurrencia de vulnerabilidad CVE
5. Operaciones básicas de base de datos (2 días)
①Conceptos básicos de base de datos
②Conceptos básicos del lenguaje SQL
③Refuerzo de seguridad de base de datos
6. Penetración web (1 semana)
① Introducción a HTML, CSS y JavaScript
② OWASP Top10
③ Herramientas de escaneo de vulnerabilidades web
④ Herramientas de penetración web: Nmap, BurpSuite, SQLMap, otras (chopper, escaneo faltante, etc.)
Felicitaciones, si aprendes esto, básicamente puedes trabajar en un trabajo relacionado con la seguridad de la red, como pruebas de penetración, penetración web, servicios de seguridad, análisis de seguridad y otros puestos; si aprendes bien el módulo de seguridad, también puedes trabajar como un ingeniero de seguridad El rango de salario es 6k-15k.
Hasta ahora, alrededor de un mes. Te has convertido en un "script kiddie". Entonces, ¿todavía quieres explorar más?
Amigos que quieran involucrarse en piratería y seguridad de redes, he preparado una copia para todos: 282G, el paquete de datos de seguridad de redes más completo de toda la red, ¡gratis!
Haga clic en [Tarjeta al final del artículo] para obtenerla gratis
Con estos fundamentos, si desea estudiar en profundidad, puede consultar la hoja de ruta de aprendizaje súper detallada a continuación. Aprender de acuerdo con esta ruta es suficiente para ayudarlo a convertirse en un excelente ingeniero de seguridad de red intermedio y senior:
[Hoja de ruta de aprendizaje de alta definición o archivo XMIND (haga clic en la tarjeta al final del artículo para obtenerlo)]
También hay algunos recursos de videos y documentos recopilados en el estudio, que puede tomar usted mismo si es necesario:
videos de apoyo para cada ruta de crecimiento correspondiente a la sección:
por supuesto, además de videos de apoyo, varios documentos, libros, materiales Y las herramientas también están organizadas para usted, y ya ha dividido las categorías para todos.
Debido al espacio limitado, solo se muestra una parte de la información. Si la necesita, puede [haga clic en la tarjeta a continuación para obtenerla gratis]