威胁情报运营研究-工具环境搭建

注：自己随便研究研究，先起个头，搭建了一些开源工具，具体运营起来还不知道多久呢，下面开始正题  

我的思路是OpenCTI->TheHive->MISP，运营+情报抓取

OpenCTI

介绍：

OpenCTI 即 Open Cyber Threat Intelligence Platform，开源网络威胁情报平台。它的创建是为了构建、存储、组织和可视化有关网络威胁的技术和非技术信息。它使用基于 STIX 2 标准的知识模式来执行数据的结构化。并被设计为现代 Web 应用程序，包括 GraphQL API 和面向 UX的前端。此外，OpenCTI 可以与其他工具和应用程序集成，如 MISP、TheHive、MITRE ATT&CK 等。用人话来说，就是这玩意能加载威胁情报，可视化啥的做的比较好

搭建过程

我这有之前下的OVA文件，看官方的文档现在好像把OVA给移除了，大部分都用的docker，emmm我尝试了一下docker，跑起来一堆报错，后来想起来我这有个之前下的官方的虚机，但是就算是虚机也是有问题的，虚拟机用户名：opencti 密码：opencti，下面开始排错导入后发现他是一个mini版的Ubuntu应该，里面net-tools工具都没得，导入了之后ip也不知道是啥就别提咋访问了，尝试ping www.baidu.com不通，那基本上就是网卡问题了，ip a命令也不行因为他默认用docker装的，所以网卡有点多看不到，那就换个命令ip a|less这样就能看到网卡名了，走的NAT，网卡名叫ens33，翻下/etc/netplan/00-installer-config.yaml，发现这帮人挺坑啊，难怪没网，网卡填错了填成了ess33~，改个网卡名后执行netplan apply然后再执行systemctl restart systemd-networkd这样基本上就有网了，看下ip后直接用mobaxterm去连他的ssh就行了，原本的没界面，太难受了剩下的更换源、安装net-tools这太简单了就不写了直接web访问：http://ip:8080/就能看到他的web了

用户名：[email protected]

密码：admin

登录进去就长这样，自带中文，emmm我喜欢，毕竟我是小学生，哈哈哈哈

TheHive

opencti搞定了就开始搞TheHive

介绍：

TheHive是一个可扩展的四合一开源和免费的安全事件响应平台。这4个是TheHive, Cortex, TheHive4py (TheHive的python API)和MISP。TheHive的设计是为了让soc、csirt、cert和任何信息安全从业者在处理需要迅速调查和采取行动的安全事件时生活得更轻松。简单地说，TheHive作为SOC的前端应用程序，在三个基本阶段(检测、分析和响应)以及从创建到关闭的案例/告警管理中提供帮助。直接把官方的docker-compose文本拿过来，改改，然后传上去，直接docker-compose up -d运行就ok了，由于我这里用这个主机是装了opencti的，所以更换了个端口，docker-compose.yml如下：

 version: "3"
 services:
   thehive:
     image: strangebee/thehive:5.2
     depends_on:
       - cassandra
       - elasticsearch
       - minio
       - cortex
     mem_limit: 1500m
     ports:
       - "9005:9000"
     environment:
       - JVM_OPTS="-Xms1024M -Xmx1024M"
     command:
       - --secret
       - "mySecretForTheHive"
       - "--cql-hostnames"
       - "cassandra"
       - "--index-backend"
       - "elasticsearch"
       - "--es-hostnames"
       - "elasticsearch"
       - "--s3-endpoint"
       - "http://minio:9000"
       - "--s3-access-key"
       - "minioadmin"
       - "--s3-secret-key"
       - "minioadmin"
       - "--s3-bucket"
       - "thehive"
       - "--s3-use-path-access-style"
       - "--cortex-hostnames"
       - "cortex"
       - "--cortex-keys"
       # put cortex api key once cortex is bootstraped
       - "<cortex_api_key>"
 
   cassandra:
     image: 'cassandra:4'
     mem_limit: 1600m
     ports:
       - "9042:9042"
     environment:
       - MAX_HEAP_SIZE=1024M
       - HEAP_NEWSIZE=1024M
       - CASSANDRA_CLUSTER_NAME=TheHive
     volumes:
       - cassandradata:/var/lib/cassandra
     restart: on-failure
 
   elasticsearch:
     image: docker.elastic.co/elasticsearch/elasticsearch:7.17.12
     mem_limit: 1500m
     ports:
       - "9200:9200"
     environment:
       - discovery.type=single-node
       - xpack.security.enabled=false
     volumes:
       - elasticsearchdata:/usr/share/elasticsearch/data
 
   minio:
     image: quay.io/minio/minio
     mem_limit: 512m
     command: ["minio", "server", "/data", "--console-address", ":9090"]
     environment:
       - MINIO_ROOT_USER=minioadmin
       - MINIO_ROOT_PASSWORD=minioadmin
     ports:
       - "9090:9090"
     volumes:
       - "miniodata:/data"
 
   cortex:
     image: thehiveproject/cortex:3.1.7
     depends_on:
       - elasticsearch
     environment:
       - job_directory=/tmp/cortex-jobs
     volumes:
       - /var/run/docker.sock:/var/run/docker.sock
       - /tmp/cortex-jobs:/tmp/cortex-jobs
     ports:
       - "9001:9001"
 
 volumes:
   miniodata:
   cassandradata:
   elasticsearchdata:

装好后登录，访问9005端口（我这个改成了900，官方默认是9000）用户名：admin@thehive.local密码：secret登录进去之后会发现个Cortex的错误AUTH_ERROR不要慌，这个是正常的，参考这个链接https://blog.agood.cloud/posts/2020/05/07/thehive-in-docker/ 然后搜索AUTH_ERROR就看到怎么做了，我就不复制了，然后就是照着这个链接整就行了

MISP

上边的都搞定了就装MISP

介绍：

MISP 是一种开源软件解决方案，用于收集，存储，分发和共享有关网络安全事件分析和恶意软件分析的网络安全指标和威胁。MISP 由事件分析师，安全和 ICT 专业人员或恶意软件逆转器设计，以支持他们的日常运营，以有效地共享结构化信息。，老规矩，直接下docker-compose，我用的是https://github.com/coolacid/docker-misp，这个也是官方推荐的，拉起来就ok了，这个没啥改的地方，运行后直接访问web，默认的80端口用户名：[email protected]密码：admin

最终成果：

不得不说，opencti挺符合我的审美的，剩下的有点丑，哈哈哈哈哈