君は春の中にいる、かけがえのない春の中にいる.

你驻足于春色中,于那独一无二的春色之中.

ANOMALI STAXX威胁情报订阅分析系统把玩

ANOMALI公司就是以前的ThreatStream,以前我研究过的MHN就是出自他手,其实本来是在找MHN的一些资料的,结果无意中看见了它家的威胁情报订阅系统STAXX,就把玩了一下。

0x01 威胁情报标准

大名鼎鼎的STIX、CybOX和TAXII,网上有很多资料,懒的找的话可以邮件向我索取一些我之前收集的相关资料,当然,如果我不犯懒的话,会回应邮件的。:)

0x02 STAXX配置

既然是把玩,就不一板一眼的翻译官档了。

从ANOMALI的官网上可以直接下到STAXX的虚拟机文件,双击直接安装完成。开启机器后在页面上显示主机账号密码以及URL。

浏览器登录系统后,使用页面上提示的账号密码进入WEB端,一路配置到第三步

这里官档提供了一个免费的feed server,我有找了一个一起提供给大家。

http://hailataxii.com/taxii-discovery-service guest/guest
https://intelfeed.malwerewolf.com/taxii-discovery-service guest/guest

如果你有更多的feed server也希望能够喵我,让我也能订阅到更多的信息。

订阅成功后,就到第5步,这里选择需要订阅的具体条目,以及订阅刷新时间,ident等配置信息。

订阅好后,记得去配置(右上角齿轮一样的图标)里刷新一下,过一会儿,就可以在面板里查看pull到的信息了。

0x03 DASHBOARD

上面五颜六色的就是订阅到的信息,左起第一幅图是不同时间段提供的指示器信息,有包括钓鱼网站URL、apt URL、恶意邮件、洋葱ip、cc等等信息,我们点击一个apt URL来看一下:

点击相应的URL就可以进入到ANOMALI网站下查看详细信息。

左起第二幅图是一个安全态势的查看,可以查阅当前情报不同危险等级的数量。

第二列第一幅图是信息来源的统计,紧接着是标签统计和可信度的分析。

0x04 ACTIVITY & IMPORT

这个版面提供动态查看情报的功能,并且支持数据导出,如果你有自己的feed收集器,也可以通过这里把自己的威胁情报信息push给其他的服务器使用。

另外在IMPORT可以自定义导入TXT文本做解析,如下:

不过它这里的文本匹配规则很迷,你可以随意喂给它一个TXT文本看看就知道了。

0x05 ## 小结

作为开源软件,STAXX还是有它的亮点,提供简便的威胁情报标准订阅,以及简洁的图表分析。不过,这种功能暂时看来又有些鸡肋,从公共威胁情报来说,开放的feed不是太多,从私有威胁情报来说,部署一整套完整的威胁收集到分析系统性价比又值得商榷。而且,对于普通的公司来说,每天分析这么多来自于全世界的威胁信息恐怕也不现实吧~~