如何基于现有原型创建新的 MineMeld 输出节点
11842
Created On 02/15/20 23:41 PM - Last Modified 03/26/21 18:07 PM
Objective
本文涵盖了基于矿工创建 IPv4 类型的输出节点的过程 OSINT 。 这些输出矿工可以用作一个扩展的动态列表,以馈入 Firewall 。
Environment
AutoFocus 矿冶炼应用
Procedure
地雷熔融配置:
第一步是矿梅尔德配置和正确的矿工选择。 MineMeld 中的原型选项卡定义矿工类型、矿工属性和外部进给位置。 我们可以根据矿工或标签进行搜索。配置矿工:
- 登录 AutoFocus ,单击 MineMeld 应用程序,然后选择原型 选项卡。
- 选择原型 [外星人. 声誉], 然后单击它。 A 新的窗口将弹出,请注意矿工属性,因为这些属性在选择处理器和输出节点时很有用。 例如,对于 alienvault.声誉的属性如下所示。
- 信心: 80
- 共享=级别:绿色
- 类型: IPv4
注: MineMeld 团队有权根据最新分析更改属性值。
- 选择右侧顶部的克隆按钮,选项卡将移至配置选项卡,选择属性。 这将为你创建一个新的矿工节点,并且您可以为节点命名。 在矿工节点的情况下,请将 INPUTS 选项卡留空,然后单击 OK
- 如果希望合并更多矿工以创建聚合输出,可以重复步骤 1 到步骤 3,如上所示。 选择矿工节点的一个重要考虑因素是属性:置信度和共享级别。
我们又选了两个原型"垃圾邮件"。 DROP 和 "垃圾邮件"。 EDROP 重复步骤-1到步骤-3。 这三款样机都有自信的水平>75,份额水平是绿色的。
attributes
confidence: 100
direction: inbound
share_level: green
type: IPv4 创建处理器节点:
- 要创建处理器(另一个流行的名称作为聚合器)节点,请再次选择原型选项卡,然后选择为 IPv4 设计的处理器。 由于我们选择了具有 IPv4 类型的矿工,我们将选择为 IPv4 指标创建的处理器。
- 克隆处理器,并选择 INPUTS 以前创建的矿工节点。
创建输出节点:
- 再次选择原型选项卡并选择一个与属性条件匹配的输出节点,因为我们需要一个具有"高置信度"和"共享级别绿色"的输出节点。
- 单击节点的名称,然后克隆它。 克隆后,它将打开一个窗口>给出一个适当的名称,并选择 INPUTS 作为处理器节点。
- 使用三个节点时,输出可能看起来像下面的屏幕截图。 根据您的选择,您的屏幕截图可能会有所不同。
- 单击"提交"并等待 MineMeld 引擎重新启动,可能需要几分钟时间。 可以在"系统"选项卡上检查工程师状态。
验证和 EDL URL :
- 切换到节点选项卡,并确认新创建的节点。
- 查看连接图
您可以单击任何节点>单击左侧栏上的"*"以查看连接图。
- 等待几分钟,输出节点将开始显示指示灯。 单击输出节点(在此示例中 - 无HC绿色与值 - OSINT )以检查 URL 节点的地址 EDL 。
在 URL FEED BASE URL ""字段中使用"字段 EDL ,如同在您的 Firewall 。。
摘要:
为第三方源创建矿工是简单而强大的,您可以根据 IPv4、IPv6 URL 和域创建矿工。