Yeti – открытая распределенная разведка угрозы |
Главная » Обзоры

Yeti – открытая распределенная разведка угрозы

Обзоры
На чтение 2 мин Опубликовано

Yeti – это платформа, предназначенная для организации наблюдателей, индикаторов компромисса, TTP и знаний об угрозах в едином унифицированном репозитории.


Yeti также автоматически обогатит наблюдателей (например, разрешать домены, геолокационные IP-адреса).

Yeti предоставляет интерфейс для людей (блестящий пользовательский интерфейс на основе Bootstrap) и один для машин (веб-API), чтобы ваши другие инструменты могли хорошо ладить с ним.

Йети родилась из-за разочарования в том, что нужно ответить на вопрос «Где я видела этот артефакт раньше?» Или «Темные домены Google», чтобы связать их с семейством вредоносных программ.

Вкратце, Yeti позволяет:

  • Отправьте наблюдателей и получите довольно хорошее представление о природе угрозы.
  • И наоборот, сосредоточьтесь на угрозе и быстро перечислите все TTP, Observables и связанные с ними вредоносные программы.
  • Пусть респонденты пропускают этап ответа «Google артефакт».
  • Пусть аналитики сосредотачиваются на добавлении интеллекта, а не на беспокойство о машиносчитываемых форматах экспорта.
  • Визуализируйте графики отношений между различными угрозами.

Это делается путем:

  • Сбор и обработка наблюдаемых из широкого спектра различных источников (экземпляры MISP, трекеры вредоносных программ, XML-каналы, каналы JSON …)
  • Предоставление веб-API для автоматизации запросов (подумайте о платформе управления инцидентами) и обогащения (подумайте о вредоносной программной среде).
  • Экспортируйте данные в пользовательские форматы, чтобы их можно было проглотить сторонними приложениями (думаю, блоклисты, SIEM).

Установка

Установка Yeti довольно проста.

Эта процедура была протестирована на Ubuntu 16.04, но YMMV.

Установите зависимости:

 

 # sudo apt-get install build-essential git python-dev mongodb redis-server libxml2-dev libxslt-dev zlib1g-dev python-virtualen

Установить Yarn:

 

 #curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -
# echo "deb https://dl.yarnpkg.com/debian/ stable main" | sudo tee /etc/apt/sources.list.d/yarn.list
#  sudo apt-get update && sudo apt-get install yarn

 

git clone https://github.com/yeti-platform/yeti.git

Активируйте virtualenv, если хотите, затем установите требования:

 # cd Yeti
# [sudo] pip install -r requirements.txt
# yarn install

 

Скачать Yeti

¯\_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

debian google linux OSINT SIEM ubuntu
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий