如何用开源软件搭建一个完整的SIEM方案 SIEM是企业安全运营中心的核心引擎，用于收集、分析和存储安全事件信息并为安全运营的各个流程提供决策信息。SIEM极为复杂，因此绝大多数企业都选择购买价格不菲的商业产品/服务。 但是，高企的价位和运营成本使SIEM成为大型企业才能享用的网络安全“奢侈品”，对于很多安全预算有限的中小型企业，部署SIEM会挤占大量研发、营销和人才预算。 云安全公司SOCFortress认为，网络安全是一种权利，而不应该是特权。该公司推荐了一整套开源工具来帮助企业搭建功能不输商业产品的开源SIEM（甚至SOC）方案，整理如下： 构成SIEM堆栈的关键要素 我们首先需要了解SIEM堆栈的关键构成。如果没有合适的工具，安全团队将很难检测、评估、分类和响应安全事件。随着网络的增长和采集日志量的增加，这一点尤其重要。 以下是必须整合到SIEM堆栈中的关键功能模块。 日志采集 日志分析 后端存储 可视化 智力充实 案例管理 自动化 调查与应对 监测 日志采集 在SOC分析师查看安全日志之前，首先需要确定采集哪些日志源。常见的日志包括 ...

开放式网络威胁情报平台-OpenCTI 一、介绍 OpenCTI是一个开放源码的平台，允许组织管理他们的网络威胁情报知识和观察。它的创建是为了构建、存储、组织和可视化有关网络威胁的技术和非技术信息。 数据的结构化使用基于STIX2标准的知识模式来执行。它被设计成一个现代的web应用程序，包括一个GraphQL API和一个面向UX的前端。此外，OpenCTI还可以与其他工具和应用程序集成，如MISP、hive、MITRE ATT&CK等。 二、目标 目标是创建一个综合工具，允许用户利用技术信息（如TTP和可观察信息）和非技术信息（如建议的归属、受害者等），同时将每一条信息与其主要来源（报告、MISP事件等）相链接，并具有每一条信息之间的链接等功能，首先上次看到的日期、置信度等。该工具能够使用MITRE ATT&CK框架（通过专用连接器）帮助构建数据。用户还可以选择实现自己的数据集。 一旦OpenCTI内的分析人员对数据进行了资本化和处理，就可以从现有的关系中推断出新的关系，以便于理解和表示这些信息。这允许用户从原始数据中提取和利用有意义的知识。 OpenCTI不仅 ...

OpenCTI创建报告 一、介绍 如果您想要添加一个不在平台上的报告或源代码来分析它，您有两种可能性: 要么报告在数据库中，其中存在一个到OpenCTI的连接器。你只需要在这个数据库中找到你的报告，并按照程序导入它(例如，在MISP中，你必须标记它，以及在Zotero中)。之后，您只需等待报告被导入(这取决于为连接器设置的执行时间)。 或者您可以在OpenCTI中直接从头开始创建报告。为此，进入“报告”服务，并单击右下角的橙色按钮。填写完信息后，点击“创建”按钮(不要担心源文件的URL，它会在下一步出现)。 二、创建的报告将出现在“all reports”表的顶部，并带有“new”标记。如果单击它，将显示源的仪表板。 三、添加外部引用 然后可以添加以前没有输入的信息。例如,如果你想添加一个URL来指向其来源的一份报告中,你可以点击右边的小“+”标志的“外部引用”框,并在windows就出现,再次点击橙色右下角按钮创建一个全新的来源。 来源：https://opencti-platform.github.io/docs/usage/reports-create

OpenCTI导入知识 一、导入知识 连接器 OpenCTI有越来越多的连接器，可以在专用的Github存储库中使用。类型EXTERNAL_IMPORT的连接器允许您自动从外部服务(即。AlienVault, MISP, TheHive等)。 二、用户界面 您还可以在平台的用户界面中手动导入知识。你必须有各种可能性: 屏幕右上角的全局导入按钮、文件中的实体和关系将按原样导入。 导入按钮可用于报告中上传的文件，所有从这里导入的知识都将链接到报告本身。 三、客户/ API 例如，在Python库中，您可以使用以下方法: 来源：https://opencti-platform.github.io/docs/usage/knowledge-import

AI蜜罐Galah Galah蜜罐用AI 反馈攻击的请求，不再是用模拟的服务程序进行反馈。 https://github.com/0x4D31/galah 工具要求 Go v1.20+ 工具下载 由于该工具基于Go语言开发，因此我们首先需要在本地设备上安装并配置好Go v1.20+环境。 接下来，点击【这里】创建你的OpenAI API密钥。如果你想要使用HTTPS的话，别忘了生成TLS证书。 配置完成之后，广大研究人员可以直接使用下列命令将该项目源码克隆至本地： git clone git@github.com:0x4D31/galah.git 然后使用下列命令切换到项目目录中，并安装该工具所需的全部依赖组件： cd galah go mod download go build ./galah -i en0 -v 响应样例 样例1 % curl http://localhost:8080/login.php Login PageUsername:Password:Login JSON日志记录： {“timestamp”:“2024-01-01T05:38:08.8548 ...

Hello how are you ✍️️ A set of model files for the C++ implementation of Gemma 2B. It is easy to download, build, and tinker with. This is a compressed version of the weights for a 2B parameter model that has been instruction-tuned. These will load, run, and download more quickly. Pre-trained (PT) models can be used as base models for further development, while instruction-tuned (IT) variants can be used for chatting and following prompts.

Ubuntu20和Ubuntu22有什么区别？ Ubuntu 20和Ubuntu 22是两个不同版本的Ubuntu操作系统，它们之间有一些区别，主要包括以下几点： 版本号：Ubuntu 20是发布于2020年的版本，而Ubuntu 22是发布于2022年的版本，因此Ubuntu 22可能包含更多的新功能和更新。 内核版本：Ubuntu 20使用的是Linux内核5.4，而Ubuntu 22使用的是Linux内核5.15，新内核可能带来更好的性能和稳定性。 软件包：Ubuntu 22可能会包含更新的软件包和应用程序版本，以满足用户对最新功能和改进的需求。 支持周期：通常来说，较新版本的Ubuntu会有更长的支持周期，这意味着用户可以获得更长时间的安全更新和技术支持。 用户界面：虽然桌面环境可能在不同版本中没有太大变化，但可能会有一些小的改进或调整。 总体来说，Ubuntu 22相比于Ubuntu 20可能会有更多的新功能、更新和改进，用户可以根据自己的需求选择使用哪个版本。 BIOS开启超线程的作用是什么 BIOS开启超线程可以让处理器的每个物理核心模拟出两个逻辑 ...

linux iftop 命令使用的10个案例 iftop 是一个实时监控网络带宽的监控工具。它捕捉流经网口的入方向和出方向的数据包总数，并显示总带宽利用率。在本指南中，我们将带您完成 iftop 命令行工具的安装和使用。 iftop 安装 (1) 在 Ubuntu / Debian 发行版上安装 $ sudo apt-get install -y iftop (2) 在 CentOS / RHEL / Rocky Linux 上安装 对于基于 RHEL 的发行版，您首先需要启用 EPEL 存储库。 $ sudo yum install -y epel-release 然后执行命令 $ sudo yum install iftop Or $ sudo dnf install -y iftop (3) 在 Fedora 上安装 $ sudo dnf install -y iftop (4) 在 Arch Linux / Manjaro 上安装 $ sudo pacman -S iftop 现在让我们概述一些常见的 iftop 命令用法。 (1) 显示整体带宽使用指标 如果不带任何参数 ...

Suricata与TheHiveCortex结合使用 Suricata 是一个强大的网络威胁检测引擎，而 TheHive Cortex 则是一个可观察性分析和主动响应引擎。虽然它们是不同的工具，但可以结合使用以增强安全分析和响应能力。 下面是关于 Suricata 和 TheHive Cortex 结合使用的一些注意事项： Suricata： 功能：Suricata 可以进行实时入侵检测 (IDS)、内联入侵预防 (IPS)、网络安全监控 (NSM) 和离线 pcap 处理。 规则和签名：Suricata 使用规则和签名语言来检查网络流量，支持多种协议解码和流量方向。 配置：您可以在 Suricata 的配置文件中设置规则路径、规则目录和其他参数。 TheHive Cortex： 功能：TheHive Cortex 是一个可观察性分析和响应引擎，旨在帮助安全团队分析收集到的可观察数据。 分析器：Cortex 支持多种分析器，可以查询 IP 地址、电子邮件地址、URL、域名和文件/哈希等可观察数据。 结合使用： 您可以将 Suricata 与 TheHive Co ...

scirius规则集管理工具安装和使用 scirius源代码网址： http://www.github.com/StamusNetworks/scirius Git Clone代码到本地： git clone http://www.github.com/StamusNetworks/scirius scirius源码文档： https://github.com/StamusNetworks/scirius/wiki 1.简介 Scirius Community Edition是一个专用于Suricata规则集管理的web界面。 它处理规则文件并更新相关文件。 Scirius  CE由stamus networks开发，遵循GNU GPLv3. 2.特征 Scirius 可以构建由不同来源组成的suricata规则集合。来源或提要可以从OISF发布的公共来源中挑选，也可以是自定义的。Scirius将通过在应用你的转换来处理刷新源和组成规则集。可以为每个规则或类别级别进行转换，例如禁用规则或应用阈值（仅降低噪声）。Scirius还提供有关规则活动的统计信息，以提供信息并促进调整。 3.安 ...