Erstellen eines neuen MineMeld-Ausgabeknotens basierend auf einem vorhandenen Prototyp
16223
Created On 02/15/20 23:41 PM - Last Modified 03/26/21 18:07 PM
Objective
Dieser Artikel behandelt den Prozess zum Erstellen eines Ausgabeknotens vom Typ IPv4 basierend auf OSINT Bergleuten. Diese Ausgabe-Miner können als erweiterte dynamische Liste verwendet werden, um in die Firewall einzuspeisen.
Environment
AutoFocus MineMeld-Anwendung
Procedure
MineMeld-Konfiguration:
Der erste Schritt ist MineMeld Konfiguration und richtige Bergmann Auswahl. Die Registerkarte Prototyp in MineMeld definiert die Art des Bergmanns, die Eigenschaften des Bergmanns und die externe Futterposition. Wir können Suchanfragen basierend auf Bergleuten oder Tags durchführen.Konfigurieren eines Bergmanns:
- Melden Sie sich bei an AutoFocus , klicken Sie auf die MineMeld-Anwendung, und wählen Sie die Registerkarte Prototyp aus.
- Wählen Sie den Prototyp "alienvault.reputation" und klicken Sie darauf. A neues Fenster wird erscheinen, nehmen Sie eine Notiz von den Miner-Attributen, da diese bei der Auswahl des Prozessors und Ausgabeknotens nützlich sein werden. Zum Beispiel, für alienvault.reputation sind die Attribute wie folgt.
- Vertrauen: 80
- share_level: grün
- Typ: IPv4
Hinweis: Das MineMeld-Team hat das Recht, die Attributwerte basierend auf der neuesten Analyse zu ändern.
- Wählen Sie die Klonschaltfläche oben rechts aus, und die Registerkarte wechselt zur Registerkarte Konfiguration, wählen Sie das Attribut aus. Dadurch wird ein neuer Miner-Knoten für Sie erstellt, und Sie können dem Knoten einen Namen geben. Im Falle eines Bergmannsknotens lassen Sie die INPUTS Tabs leer, klicken Sie dann auf OK
- Wenn Sie mehr Bergleute kombinieren möchten, um eine aggregierte Ausgabe zu erstellen, können Sie den Schritt 1 bis Schritt 3 wie oben wiederholen. Ein wichtiger Aspekt bei der Auswahl des Bergmannsknotens ist das Attribut: Konfidenzniveau und Freigabeebene.
Wir wählten zwei weitere Prototypen "Spamhaus . DROP und "spamhaus. EDROP ", Wiederholen Sie Schritt-1 auf Schritt-3. Alle drei Prototypen haben ein selbstbewusstes Niveau > 75 und das Aktienniveau ist grün.
attributes
confidence: 100
direction: inbound
share_level: green
type: IPv4 Erstellen eines Prozessorknotens:
- Zum Erstellen eines Prozessorknotens (ein anderer beliebter Name als Aggregator) wählen Sie erneut die Registerkarte Prototyp aus, und wählen Sie einen Prozessor aus, der für IPv4 entwickelt wurde. Da wir den Bergmann mit dem Typ IPv4 ausgewählt haben, wählen wir einen Prozessor aus, der für IPv4-Indikatoren erstellt wird.
- Klonen Sie den Prozessor, und wählen Sie die INPUTS zuvor erstellten Bergmannsknoten aus.
Erstellen des Ausgabeknotens:
- Wählen Sie die Registerkarte Prototyp erneut aus, und wählen Sie einen Ausgabeknoten aus, der den Attributkriterien entspricht, da wir einen Ausgabeknoten benötigen, der "hohes Vertrauen" und "Share Level Green" hat.
- Klicken Sie auf den Namen des Knotens, und klonen Sie ihn. Nach dem Klonen wird ein Fenster geöffnet, > einen entsprechenden Namen geben und den INPUTS als Prozessorknoten auswählen.
- Bei drei Knoten kann die Ausgabe wie die Bildschirmaufnahme unten aussehen. Ihre Bildschirmaufnahme kann je nach Auswahl unterschiedlich sein.
- Klicken Sie auf "Commit" und warten Sie, bis die MineMeld-Engine neu gestartet wird, es kann einige Minuten dauern. Der Ingenieurstatus kann auf der Registerkarte "System" überprüft werden.
Überprüfung und EDL URL :
- Wechseln Sie zur Knotenregisterkarte, und bestätigen Sie Die neu erstellten Knoten.
- Verbindungsdiagramm anzeigen
Sie können auf einen beliebigen Knoten klicken > klicken Sie auf das "*" auf der linken Seitenleiste, um das Verbindungsdiagramm anzuzeigen.
- Warten Sie einige Minuten, der Ausgabeknoten beginnt mit der Anzeige der Indikatoren. Klicken Sie auf den Ausgabeknoten ( in diesem Beispiel -freeHCGreenWithValues- OSINT ), um die Adresse für den Knoten zu URL EDL überprüfen.
Verwenden Sie das URL feld im Feld " wie in Ihrem FEED BASE URL EDL Firewall .
Zusammenfassung:
Erstellen eines Bergmanns für einen Drittanbieter-Feed ist einfach und leistungsstark, können Sie einen Bergmann basierend auf dem IPv4, IPv6, URL und Domains erstellen.