Comment créer un nouveau nœud de sortie MineMeld basé sur le prototype existant
16227
Created On 02/15/20 23:41 PM - Last Modified 03/26/21 18:07 PM
Objective
Cet article couvre le processus de création d’un nœud de sortie de type IPv4 basé sur les OSINT mineurs. Ces mineurs de sortie peuvent être utilisés comme une liste dynamique étendue pour alimenter le Firewall .
Environment
AutoFocus Application MineMeld
Procedure
Configuration MineMeld:
La première étape est la configuration MineMeld et la sélection appropriée des mineurs. L’onglet prototype de MineMeld définit le type de mineur, les propriétés du mineur et l’emplacement externe des aliments pour animaux. Nous pouvons effectuer des recherches basées sur des mineurs ou des balises.Configurer un mineur :
- Connectez-vous à AutoFocus l’application MineMeld, cliquez sur l’application MineMeld et sélectionnez l’onglet prototype.
- Sélectionnez le prototype "alienvault.reputation" et cliquez dessus. A nouvelle fenêtre apparaîtra, prendre une note des attributs miner car ceux-ci seront utiles dans le choix du processeur et nœud de sortie. Par exemple, pour alienvault.reputation les attributs sont les suivants.
- confiance: 80
- niveau de partage: vert
- type: IPv4
Note: L’équipe MineMeld a tout le droit de modifier les valeurs d’attribut s’appuyant sur la dernière analyse.
- Sélectionnez le bouton clone en haut à droite, et l’onglet se déplacera vers l’onglet config, sélectionnez l’attribut. Cela créera un nouveau nœud mineur pour vous, et vous pouvez donner un nom au nœud. Dans le cas d’un nœud mineur, veuillez laisser INPUTS les onglets vides, puis cliquez sur OK
- Si vous souhaitez combiner plus de mineurs pour créer une sortie agrégée, vous pouvez répéter l’étape 1 à l’étape 3 comme ci-dessus. Une considération importante dans le choix du nœud mineur est l’attribut: niveau de confiance et niveau de partage.
Nous avons sélectionné deux autres prototypes "spamhaus DROP . » et EDROP « spamhaus ». répéter l’étape 1 à l’étape 3. Les trois prototypes ont un niveau de confiance > 75 et le niveau de part est vert.
attributes
confidence: 100
direction: inbound
share_level: green
type: IPv4 Création d’un nœud processeur :
- Pour créer un nœud processeur (un autre nom populaire en tant qu’agrégateur), veuillez sélectionner à nouveau l’onglet prototype et sélectionner un processeur conçu pour IPv4. Puisque nous avons sélectionné le mineur qui a le type d’IPv4, nous sélectionnerons un processeur qui est créé pour les indicateurs IPv4.
- Clonez le processeur et sélectionnez les INPUTS nœuds miner créés précédemment.
Création du nœud de sortie :
- Sélectionnez à nouveau l’onglet prototype et sélectionnez un nœud de sortie qui correspondra aux critères d’attribut, car nous avons besoin d’un nœud de sortie qui a une « grande confiance » et un « niveau de partage vert ».
- Cliquez sur le nom du nœud et clonez-le. Après le clonage, il ouvrira une fenêtre pour > un nom approprié et sélectionnez le INPUTS nœud de processeur.
- Avec trois nœuds, la sortie peut ressembler à la capture d’écran ci-dessous. Votre capture d’écran peut être différente en fonction de votre sélection.
- Cliquez sur « commit » et attendre que le moteur MineMeld redémarre, cela peut prendre quelques minutes. L’état de l’ingénieur peut être vérifié sur l’onglet « Système ».
Vérification et EDL URL :
- Passez à l’onglet nœud et confirmez vos nœuds nouvellement créés.
- Afficher le graphique de connexion
Vous pouvez cliquer sur n’importe quel nœud > cliquez sur le « * » sur la barre latérale gauche pour afficher le graphique de connexion.
- Attendez quelques minutes, le nœud de sortie va commencer à montrer les indicateurs. Cliquez sur le nœud de sortie ( dans cet exemple -freeHCGreenWithValues- OSINT ) pour vérifier URL l’adresse du EDL nœud.
Utilisez le URL champ " comme dans votre FEED BASE URL EDL Firewall .
Résumé:
Créer un mineur pour un flux tiers est facile et puissant, vous pouvez créer un mineur basé sur l’IPv4, IPv6, URL et les domaines.