RITA:情报威胁分析工具

2019年11月9日00:02:51 发表评论

RITA是一款专门针对网络流量分析与测试人员的开源框架,广大研究人员可以利用RITA来对收集到的安全威胁情报进行深度分析。

RITA:情报威胁分析工具

RITA能够以TSV格式来读取Bro/Zeek日志,该工具当前支持以下几个主要功能:

1、Beacon检测:搜索目标网络中的所有Beacon行为标记;

2、DNS隧道检测:搜索基于DNS的隐蔽通信信道标记;

3、黑名单检测:查询黑名单以搜索可疑域名和主机;

自动化安装

RITA的自动安装工具目前支持Ubuntu 16.04 LTS,Security Onion*和CentOS 7。

1、从RITA项目的【Release页面】下载最新版本的install.sh文件。

2、给install.sh脚本提供可执行权限:

chmod +x ./install.sh

3、使用下列命令运行安装器:

sudo ./install.sh

工具使用

系统要求

1、操作系统:64位Ubuntu 16.04 LTS,并使用“apt-get”完成系统更新。

2、处理器:至少三核心,如果与其他虚拟机产生资源竞争,则有可能导致数据包丢失。

3、内存:至少16GB内存,如需监控100MB以上网络流量,则需64GB内存;如需监控1GB以上网络流量,则需128GB内存。

4、存储:至少300GB存储空间,建议使用1TB或更多。

5、网络:为了结合Bro/Zeek来不作流量,我们需要至少两块网卡,其中一个负责系统的管理,另一块负责捕捉端口流量。

配置文件

Filtering: InternalSubnets是必须配置的,否则无法查看到分析结果。如果你的网络使用了标准RFC1918,内部IP范围为10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16,我们需要去掉配置文件中InternalSubnets数据域的注释,并根据我们的环境情况进行参数修改。RITA的主要目标是为了寻找已被入侵的内部系统在于外部系统通信的标识,并且能够自动过滤内部终端的通信。

除了Filtering: InternalSubnets之外,你可能还需要配置Filtering: AlwaysInclude,它是一个范围列表,可以指定需要过滤的内容。

项目地址

RITA:【GitHub传送门

发表评论

后发表评论