DOE AGORA Qualquer valor

Coleção OSINT inteligente de tipos comuns de COI

Ir para o conteúdo
Coleção Smart OSINT de tipos comuns de COI
Pitão
Filial: mestre 
Clonar ou baixar 
@deadbits
Último commita8bc1abon 29 Aug 2019

 README.md

logotipo
  • Liberação
  • Versão

Mimir

Coleção OSINT inteligente de tipos comuns de COI.

Visão geral

Este aplicativo foi desenvolvido para auxiliar analistas e pesquisadores de segurança na coleta e avaliação de tipos comuns de COI. Os IOCs aceitos atualmente incluem endereços IP, nomes de domínio, URLs e hashes de arquivo.
O título deste projeto recebeu o nome de Mimir, uma figura da mitologia nórdica conhecida por seu conhecimento e sabedoria. Esse aplicativo tem como objetivo fornecer conhecimento sobre IOCs e, em seguida, adicionar "sabedoria", calculando as pontuações de risco por IOC, atribuindo um nome de família de malware comum a pesquisas de hash com base em relatórios do VirusTotal e OPSWAT e aproveitando as ferramentas de aprendizado de máquina para determinar se um IP, URL ou domínio provavelmente é malicioso.

Coleção Base

Para IOCs baseados em rede, Mimir reúne informações básicas, incluindo:
  • Quem é
  • ASN
  • Geolocalização
  • DNS reverso
  • DNS passivo

Fontes de coleção

Algumas dessas fontes exigirão uma chave de API e, ocasionalmente, apenas obtendo uma conta paga. Tentei limitar ao máximo a dependência de serviços pagos.
  • PassiveTotal
  • VirusTotal
  • Ferramentas de domínio
  • OPSWAT
  • Navegação segura do Google
  • Shodan
  • PulseDive
  • CSIRTG
  • URLscan
  • HpHosts
  • Verificações na lista negra
  • Verificações de lista negra de spam

Pontuação de Risco

A pontuação de risco funciona melhor quando Mimir pode reunir uma quantidade decente de pontos de dados para um COI; pDNS, resultados de URL / domínio bem preenchidos (amostras de comunicação, amostras associadas, dados recentes de varredura, etc.) e também leva em consideração o resultado da previsão de malícia do ML.

Previsões de aprendizado de máquina

Os resultados da previsão de aprendizado de máquina vêm dos projetos CSIRT Gadgets: csirtg-domainsml-py, csirtg-ipsml-py, csirtg-urlsml-py.

Resultado

O Mimir oferece saída de resultados em várias opções, incluindo relatórios de arquivos locais ou exportação dos resultados para um serviço externo.
  • stdout (saída do console)
    • normaliza os dados do resultado, impressos com cabeçalhos e subtítulos por módulo
  • Arquivo JSON
    • saída embelezada para arquivo local
  • Excel
    • usa várias folhas por tipo de COI
  • MISP
    • comprometer novos indicadores
  • ThreatConnect
    • comprometa novos indicadores com classificações de confiança e ameaça (opcionalmente, atribua tags, uma descrição e uma configuração de TLP)

Comentários

Ebook

Postagens mais visitadas