Skip to content
Questo repository traccia le attività del gruppo operativo per la sperimentazione di un meccanismo di Info Sharing fatto dalla community Cyber Saiyan
Python Shell
Branch: master
Clone or download

Latest commit

Fetching latest commit…
Cannot retrieve the latest commit at this time.

Files

Permalink
Type Name Latest commit message Commit time
Failed to load latest commit information.
CONTRIB
INSTALL
img
.gitignore
.gitmodules
IoC-STIX_TAXII.md
IoC-text.md
README.md

README.md

Info Sharing

Questo repository traccia le attività del gruppo operativo per la sperimentazione di un meccanismo di Info Sharing della community Cyber Saiyan avviato a Novembre 2018.

L'obiettivo è quello di creare una community italiana che funzioni da collettore di indicatori di compromissione (IoC) disponibili e condivisi da fonti autorevoli (GET di indicatori) e che al contempo possa contribuire con le proprie expertise all'arricchimento della rete di condivisione (PUSH indicatori sulla rete) o alla validazione degli indicatori.

Oggi è implementata la seguente architettura che prevede due componenti distinte

  • la componente PRODUCER: realizzata attraverso il software OpenTAXII su cui è stata configurata una collection denominata community su cui è abilitato il PUSH autenticato di IoC in formato STIX 1.2
  • la componente CONSUMER: realizzata attraverso il software Minemeld che effettua periodicamente il POLL degli IoC dalla collection community di OpenTAXII e "ribalta" tali indicatori su due feed distinti (testo e STIX/TAXII)

l'architettura implementata

Componente CONSUMER

Gli indicatori sono accessibili in vari formati

Qui di seguito alcuni esempi di integrazione

  • Come integrare MISP: integrazione del feed STIX nella piattaforma open source TIP MISP, tks @patriziotufarolo
  • Come integrare MINEMELD: seguire le indicazioni del post per integrare il feed STIX in Minemeld; impostare i seguenti valori nel miner taxiing.phishtank
    • collection: CS-COMMUNITY-TAXII
    • discovery_service: https://infosharing.cybersaiyan.it/taxii-discovery-service
    • username/password: NON IMPOSTARE, la connessione è non autenticata
  • Come integrare GRAYLOG: integrazione del feed in Graylog

Componente PRODUCER

La componente PRODUCER è alimentata sia da utenti autorizzati che da script automatici che collezionano e caricano IoC.

Utenti

Gli utenti autorizzati possono

Feed monitorati

Architettura

La guida all'installazione del server e del software di base è disponibile qui. Le configurazioni dei software (OpenTAXII e Minemeld) saranno descritte in seguito [TODO].

Community

Il progetto è un'iniziativa volontaria portata avanti dalla community di Cyber Saiyan. E' stato creato un gruppo Telegram per coordinare l'evoluzione del progetto.

You can’t perform that action at this time.