Coleção OSINT inteligente de tipos comuns de COI
Adira ao GitHub hoje
O GitHub é o lar de mais de 40 milhões de desenvolvedores trabalhando juntos para hospedar e revisar códigos, gerenciar projetos e criar software juntos.
inscrever-se
Coleção Smart OSINT de tipos comuns de COI
README.md
Mimir
Coleção OSINT inteligente de tipos comuns de COI.
Visão geral
Este aplicativo foi desenvolvido para auxiliar analistas e pesquisadores de segurança na coleta e avaliação de tipos comuns de COI. Os IOCs aceitos atualmente incluem endereços IP, nomes de domínio, URLs e hashes de arquivo.
O título deste projeto recebeu o nome de Mimir, uma figura da mitologia nórdica conhecida por seu conhecimento e sabedoria. Esse aplicativo tem como objetivo fornecer conhecimento sobre IOCs e, em seguida, adicionar "sabedoria", calculando as pontuações de risco por IOC, atribuindo um nome de família de malware comum a pesquisas de hash com base em relatórios do VirusTotal e OPSWAT e aproveitando as ferramentas de aprendizado de máquina para determinar se um IP, URL ou domínio provavelmente é malicioso.
Coleção Base
Para IOCs baseados em rede, Mimir reúne informações básicas, incluindo:
- Quem é
- ASN
- Geolocalização
- DNS reverso
- DNS passivo
Fontes de coleção
Algumas dessas fontes exigirão uma chave de API e, ocasionalmente, apenas obtendo uma conta paga. Tentei limitar ao máximo a dependência de serviços pagos.
- PassiveTotal
- VirusTotal
- Ferramentas de domínio
- OPSWAT
- Navegação segura do Google
- Shodan
- PulseDive
- CSIRTG
- URLscan
- HpHosts
- Verificações na lista negra
- Verificações de lista negra de spam
Pontuação de Risco
A pontuação de risco funciona melhor quando Mimir pode reunir uma quantidade decente de pontos de dados para um COI; pDNS, resultados de URL / domínio bem preenchidos (amostras de comunicação, amostras associadas, dados recentes de varredura, etc.) e também leva em consideração o resultado da previsão de malícia do ML.
Previsões de aprendizado de máquina
Os resultados da previsão de aprendizado de máquina vêm dos projetos CSIRT Gadgets: csirtg-domainsml-py, csirtg-ipsml-py, csirtg-urlsml-py.
Resultado
O Mimir oferece saída de resultados em várias opções, incluindo relatórios de arquivos locais ou exportação dos resultados para um serviço externo.
- stdout (saída do console)
- normaliza os dados do resultado, impressos com cabeçalhos e subtítulos por módulo
- Arquivo JSON
- saída embelezada para arquivo local
- Excel
- usa várias folhas por tipo de COI
- MISP
- comprometer novos indicadores
- ThreatConnect
- comprometa novos indicadores com classificações de confiança e ameaça (opcionalmente, atribua tags, uma descrição e uma configuração de TLP)
Comentários
Postar um comentário