Cómo crear un nuevo nodo de salida MineMeld basado en el prototipo existente
11834
Created On 02/15/20 23:41 PM - Last Modified 03/26/21 18:07 PM
Objective
En este artículo se describe el proceso para crear un nodo de salida de tipo IPv4 basado en OSINT mineros. Estos mineros de salida se pueden utilizar como una lista dinámica extendida para alimentarse en el Firewall archivo .
Environment
AutoFocus Aplicación MineMeld
Procedure
Configuración de MineMeld:
El primer paso es la configuración de MineMeld y la selección adecuada del minero. La pestaña prototipo de MineMeld define el tipo de minero, las propiedades del minero y la ubicación de alimentación externa. Podemos realizar búsquedas basadas en mineros o etiquetas.Configurar un Minero:
- Inicie sesión AutoFocus en el , haga clic en la aplicación MineMeld y seleccione la pestaña prototipo.
- Seleccione el prototipo "alienvault.reputation" y haga clic en él. A nueva ventana aparecerá, tomar una nota de los atributos mineros, ya que estos serán útiles en la selección del procesador y el nodo de salida. Por ejemplo, para alienvault.reputation los atributos son los siguientes.
- confianza: 80
- share_level: verde
- tipo: IPv4
Nota: El equipo de MineMeld tiene todo el derecho de cambiar los valores de atributo basados en el análisis más reciente.
- Seleccione el botón de clonación en la parte superior derecha y la pestaña pasará a la pestaña de configuración, seleccione el atributo. Esto creará un nuevo nodo minero para usted, y puede dar un nombre al nodo. En el caso del nodo minero, deje las INPUTS pestañas vacías y, a continuación, haga clic en OK
- Si desea combinar más mineros para crear una salida agregada, puede repetir el paso-1 al paso 3 como se indica arriba. Una consideración importante en la selección del nodo minero es el atributo: nivel de confianza y nivel de recurso compartido.
Seleccionamos dos prototipos más " DROP spamhaus." y "spamhaus. EDROP ", repetir el paso 1 al paso 3. Los tres prototipos tienen un nivel seguro > 75 y el nivel de participación es verde.
attributes
confidence: 100
direction: inbound
share_level: green
type: IPv4 Creación de un nodo de procesador:
- Para crear un nodo de procesador (otro nombre popular como agregador), seleccione de nuevo la pestaña prototipo y seleccione un procesador diseñado para IPv4. Puesto que hemos seleccionado el minero que tiene el tipo de IPv4, seleccionaremos un procesador que se crea para los indicadores IPv4.
- Clone el procesador y seleccione los INPUTS nodos mineros creados anteriormente.
Creación del nodo de salida:
- Seleccione la pestaña prototipo de nuevo y seleccione un nodo de salida que coincida con los criterios de atributo, ya que necesitamos un nodo de salida que tenga "alta confianza" y "nivel de recurso compartido verde".
- Haga clic en el nombre del nodo y clonelo. Después de clonarlo, abrirá una ventana > dará un nombre adecuado y seleccionará el INPUTS nodo como procesador.
- Con tres nodos, la salida puede parecerse a la captura de pantalla a continuación. Su captura de pantalla podría ser diferente en función de su selección.
- Haga clic en "comprometer" y espere a que el motor MineMeld se reinicie, puede tardar unos minutos. El estado del ingeniero se puede comprobar en la pestaña "Sistema".
Verificación y EDL URL :
- Cambie a la pestaña de nodo y confirme los nodos recién creados.
- Ver gráfico de conexión
Puede hacer clic en cualquier nodo > haga clic en el "*" en la barra lateral izquierda para ver el gráfico de conexión.
- Espere unos minutos, el nodo de salida comenzará a mostrar los indicadores. Haga clic en el nodo de salida ( en este ejemplo -freeHCGreenWithValues- OSINT ) para comprobar la dirección del URL EDL nodo.
Utilice el URL campo " " como en su archivo FEED BASE URL EDL Firewall .
Resumen:
Crear un minero para una fuente de terceros es fácil y potente, puede crear un minero basado en los dominios IPv4, IPv6 URL y.