pgmkcode/gossip-hive

# Gossip-Hive T-Pot 作为网络威胁情报源 ## 介绍 Gossip-Hive 最初是我在 [UNLP](https://unlp.edu.ar/)（拉普拉塔国立大学）的 [LINTI](https://www.linti.unlp.edu.ar/)（新技术信息学研究实验室）工作期间，攻读网络与安全研究生学位时开发的一个项目构思。在此期间，我在各种会议和研讨会上展示了研究进展。最终文档见 [SEDICI](https://sedici.unlp.edu.ar/handle/10915/190822)。 完成研究生课程（最终绩点：9.33）后，我继续在业余时间维护和进一步开发该项目。 ## Gossip Hive for MISP 如何工作？ Gossip Hive 按设定频率收集 T-Pot 收到的攻击。系统会设定接收攻击的端口以及需要排除的 IP 地址（建议排除 T-Pot 自身的地址）。当向 MISP 报告攻击时，会创建一个带有相应分类法和星系的事件，并对收到的攻击的特定对象进行标记。 ## Gossip-Hive for MISP 系统要求 * MISP * T-Pot ## Gossip-Hive 功能 - 自动标签（Galaxies 和 Taxonomies） - 关联选项 - 目标端口、协议以及首次攻击的日期/时间 - Suricata 警报和签名 - 攻击计数 - IP 地址信息（国家、ASN 名称、ASN 编号和信誉） ### T-Pot 步骤 * 从 T-Pot 暴露 ElasticSearch 端口（切记，即使每次生成 _custom-docker-compose.yml_ 时也要保留此设置） ``` sed -i 's|127.0.0.1:64298:9200|0.0.0.0:64298:9200|' ~/tpotce/docker-compose.yml ``` * 获取 Elasticsearch API URL 并在 .env 中设置 ``` ELASTICSEARCH_URL ``` * 排除 T-Pot IP 地址 ``` EXCLUDED_SRC_IPS ``` ### MISP 步骤 * 获取 MISP API KEY 并在 .env 中设置 ``` MISP_KEY ``` * 获取 MISP API URL 并在 .env 中设置 ``` MISP_URL ``` * 如有需要，检查其他参数 ### Gossip-Hive 步骤 ``` sudo apt update sudo apt install -y python3 python3-venv python3-pip python3 -m venv gossip-hive source gossip-hive/bin/activate pip install --upgrade pip pip install -r requirements.txt python3 gossip-hive-misp.py ``` ### Gossip-Hive 运行频率 ``` python3 gossip-hive-misp.py --minutes=15 ``` 默认频率为 60 分钟。 * 配置 cron 作业以使用相同的时间参数执行它。 ### 截图 - [MISP - 事件](https://github.com/pgmkcode/gossip-hive/blob/main/img/misp-event.png) - [MISP - 对象 - Honeypot](https://github.com/pgmkcode/gossip-hive/blob/main/img/misp-object-honeypot.png) - [MISP - 对象 - Suricata 警报](https://github.com/pgmkcode/gossip-hive/blob/main/img/misp-object-suricata-alert.png) - [MISP - 对象 - Suricata](https://github.com/pgmkcode/gossip-hive/blob/main/img/misp-object-suricata.png) ### T-Pot 兼容的蜜罐 - Adbhoney - CitrixHoneypot - Ciscoasa - ConPot - Cowrie - Ddospot - Dicompot - Dionaea - ElasticPot - Endlessh - Go-pot - Heralding - Honeypots - Honeyaml - Ipphoney - Log4pot - Mailoney - Medpot - Miniprint - Tanner - Redishoneypot - Sentrypeer - Wordpot ### MISP 中使用的 Galaxies 和 taxonomies - TLP - PAP - cssa:sharing-class - cssa:origin - admiralty-scale:source-reliability - misp-galaxy:mitre-d3fend - misp-galaxy:mitre-attack-pattern - honeypot-basic:communication-interface - honeypot-basic:data-capture - honeypot-basic:interaction-level - diamond-model:Infrastructure - kill-chain:Exploitation - kill-chain:Reconnaissance ### 许可证 GPLv2: [conpot](https://github.com/mushorg/conpot/blob/master/LICENSE.txt), [galah](https://github.com/0x4D31/galah?tab=Apache-2.0-1-ov-file#readme), [dionaea](https://github.com/DinoTools/dionaea/blob/master/LICENSE), [honeytrap](https://github.com/armedpot/honeytrap/blob/master/LICENSE), [suricata](https://suricata.io/features/open-source/) GPLv3: [T-Pot](https://github.com/telekom-security/tpotce?tab=GPL-3.0-1-ov-file#readme), [adbhoney](https://github.com/huuck/ADBHoney), [elasticpot](https://gitlab.com/bontchev/elasticpot/-/blob/master/LICENSE), [ewsposter](https://github.com/telekom-security/ewsposter), [log4pot](https://github.com/thomaspatzke/Log4Pot/blob/master/LICENSE), [fatt](https://github.com/0x4D31/fatt/blob/master/LICENSE), [heralding](https://github.com/johnnykv/heralding/blob/master/LICENSE.txt), [ipphoney](https://gitlab.com/bontchev/ipphoney/-/blob/master/LICENSE), [miniprint](https://github.com/sa7mon/miniprint?tab=GPL-3.0-1-ov-file#readme), [redishoneypot](https://github.com/cypwnpwnsocute/RedisHoneyPot/blob/main/LICENSE), [sentrypeer](https://github.com/SentryPeer/SentryPeer/blob/main/LICENSE.GPL-3.0-only), [snare](https://github.com/mushorg/snare/blob/master/LICENSE), [tanner](https://github.com/mushorg/snare/blob/master/LICENSE) Apache 2 许可证: [cyberchef](https://github.com/gchq/CyberChef/blob/master/LICENSE), [dicompot](https://github.com/nsmfoo/dicompot/blob/master/LICENSE), [elasticsearch](https://github.com/elasticsearch/elasticsearch/blob/master/LICENSE.txt), [go-pot](https://github.com/ryanolee/go-pot?tab=License-1-ov-file#readme), [h0neytr4p](https://github.com/pbssubhash/h0neytr4p?tab=Apache-2.0-1-ov-file#readme), [logstash](https://github.com/elasticsearch/logstash/blob/master/LICENSE.txt), [kibana](https://github.com/elasticsearch/kibana/blob/master/LICENSE.txt), [docker](https://github.com/docker/docker/blob/master/LICENSE) MIT 许可证: [autoheal](https://github.com/willfarrell/docker-autoheal?tab=MIT-1-ov-file#readme), [beelzebub](https://github.com/mariocandela/beelzebub?tab=MIT-1-ov-file#readme), [ciscoasa](https://github.com/Cymmetria/ciscoasa_honeypot/blob/master/LICENSE), [ddospot](https://github.com/aelth/ddospot/blob/master/LICENSE), [elasticvue](https://github.com/cars10/elasticvue/blob/master/LICENSE), [glutton](https://github.com/mushorg/glutton/blob/master/LICENSE), [hellpot](https://github.com/yunginnanet/HellPot/blob/master/LICENSE), [honeyaml](https://github.com/mmta/honeyaml?tab=MIT-1-ov-file#readme), [maltrail](https://github.com/stamparm/maltrail/blob/master/LICENSE) Unlicense: [endlessh](https://github.com/skeeto/endlessh/blob/master/UNLICENSE) 其他: [citrixhoneypot](https://github.com/MalwareTech/CitrixHoneypot#licencing-agreement-malwaretech-public-licence), [cowrie](https://github.com/cowrie/cowrie/blob/master/LICENSE.rst), [mailoney](https://github.com/awhitehatter/mailoney), [Elastic 许可证](https://www.elastic.co/licensing/elastic-license), [Wordpot](https://github.com/gbrindisi/wordpot) AGPL-3.0: [MISP](https://github.com/MISP/MISP?tab=AGPL-3.0-1-ov-file#readme) [honeypots](https://github.com/qeeqbox/honeypots/blob/main/LICENSE) [IntelOwl](https://github.com/intelowlproject/IntelOwl?tab=AGPL-3.0-1-ov-file#readme) [公共领域 (CC)](https://creativecommons.org/publicdomain/zero/1.0/): [Harvard Dataverse](https://dataverse.harvard.edu/dataverse/harvard/?q=dicom) ### Logo 许可证 项目 Logo 采用 CC BY-ND 4.0 许可。 详情请参阅 LICENSE-LOGO.md。

标签：CISA项目, Elasticsearch, ESC4, HTTP/HTTPS抓包, Metaprompt, OSINT, PFX证书, Suricata, 命令控制, 威胁共享, 威胁情报, 安全运营, 安全集成, 密码管理, 开发者工具, 态势感知, 恶意IP分析, 扫描框架, 攻击检测, 数据采集, 现代安全运营, 网络安全, 自动化响应, 蜜罐, 证书利用, 请求拦截, 逆向工具, 隐私保护