Yeti – это платформа, предназначенная для организации наблюдателей, индикаторов компромисса, TTP и знаний об угрозах в едином унифицированном репозитории.
Yeti также автоматически обогатит наблюдателей (например, разрешать домены, геолокационные IP-адреса).
Yeti предоставляет интерфейс для людей (блестящий пользовательский интерфейс на основе Bootstrap) и один для машин (веб-API), чтобы ваши другие инструменты могли хорошо ладить с ним.
Йети родилась из-за разочарования в том, что нужно ответить на вопрос «Где я видела этот артефакт раньше?» Или «Темные домены Google», чтобы связать их с семейством вредоносных программ.
Вкратце, Yeti позволяет:
- Отправьте наблюдателей и получите довольно хорошее представление о природе угрозы.
- И наоборот, сосредоточьтесь на угрозе и быстро перечислите все TTP, Observables и связанные с ними вредоносные программы.
- Пусть респонденты пропускают этап ответа «Google артефакт».
- Пусть аналитики сосредотачиваются на добавлении интеллекта, а не на беспокойство о машиносчитываемых форматах экспорта.
- Визуализируйте графики отношений между различными угрозами.
Это делается путем:
- Сбор и обработка наблюдаемых из широкого спектра различных источников (экземпляры MISP, трекеры вредоносных программ, XML-каналы, каналы JSON …)
- Предоставление веб-API для автоматизации запросов (подумайте о платформе управления инцидентами) и обогащения (подумайте о вредоносной программной среде).
- Экспортируйте данные в пользовательские форматы, чтобы их можно было проглотить сторонними приложениями (думаю, блоклисты, SIEM).
Установка
Установка Yeti довольно проста.
Эта процедура была протестирована на Ubuntu 16.04, но YMMV.
Установите зависимости:
# sudo apt-get install build-essential git python-dev mongodb redis-server libxml2-dev libxslt-dev zlib1g-dev python-virtualen
Установить Yarn:
#curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add - # echo "deb https://dl.yarnpkg.com/debian/ stable main" | sudo tee /etc/apt/sources.list.d/yarn.list # sudo apt-get update && sudo apt-get install yarn
Активируйте virtualenv, если хотите, затем установите требования:
# cd Yeti # [sudo] pip install -r requirements.txt # yarn install
Скачать Yeti
¯\_(ツ)_/¯
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.