Questo repository traccia le attività del gruppo operativo per la sperimentazione di un meccanismo di Info Sharing della community Cyber Saiyan avviato a Novembre 2018.
L'obiettivo è quello di creare una community italiana che funzioni da collettore di indicatori di compromissione (IoC) disponibili e condivisi da fonti autorevoli (GET di indicatori) e che al contempo possa contribuire con le proprie expertise all'arricchimento della rete di condivisione (PUSH indicatori sulla rete) o alla validazione degli indicatori.
Oggi è implementata la seguente architettura che prevede due componenti distinte
- la componente PRODUCER: realizzata attraverso il software OpenTAXII su cui è stata configurata una collection denominata community su cui è abilitato il PUSH autenticato di IoC in formato STIX 1.2
- la componente CONSUMER: realizzata attraverso il software Minemeld che effettua periodicamente il POLL degli IoC dalla collection community di OpenTAXII e "ribalta" tali indicatori su due feed distinti (testo e STIX/TAXII)
Gli indicatori sono accessibili in vari formati
- formato STIX/TAXII
- formato STIX 1.2 over TAXII 1.1: IoC completi di informazioni di contesto (originatore, minaccia e descrizione)
- formato STIX 2 over TAXII 2: IoC senza le informazioni di contesto
- formato TESTO / CSV / JSON: IoC senza le informazioni di contesto
Qui di seguito alcuni esempi di integrazione
- Come integrare MISP: integrazione del feed STIX nella piattaforma open source TIP MISP, tks @patriziotufarolo
- Come integrare MINEMELD: seguire le indicazioni del post per integrare il feed STIX in Minemeld; impostare i seguenti valori nel miner
taxiing.phishtank- collection:
CS-COMMUNITY-TAXII - discovery_service:
https://infosharing.cybersaiyan.it/taxii-discovery-service - username/password: NON IMPOSTARE, la connessione è non autenticata
- collection:
- Come integrare GRAYLOG: integrazione del feed in Graylog
La componente PRODUCER è alimentata sia da utenti autorizzati che da script automatici che collezionano e caricano IoC.
Gli utenti autorizzati possono
- caricare IoC dall'interfaccia web https://infosharing.cybersaiyan.it/producer/
- generare file STIX compatibili che poi vanno caricati sul server OpenTAXII (PUSH autenticato)
- piattaforma InfoSec dell'ex CERT-PA
- IoC COVID-19 messi a disposizione da Microsoft
- URLhaus database dump con URL degli ultimi 30 giorni, questa la pagina delle API di URLhaus
- Phishing Army phishing IoC tks to @drego85
La guida all'installazione del server e del software di base è disponibile qui. Le configurazioni dei software (OpenTAXII e Minemeld) saranno descritte in seguito [TODO].
Il progetto è un'iniziativa volontaria portata avanti dalla community di Cyber Saiyan. E' stato creato un gruppo Telegram per coordinare l'evoluzione del progetto.