CybercentreCanada/assemblyline-service-capa

[](https://discord.gg/GUAy9wErNu) [](https://discord.gg/GUAy9wErNu) [](https://github.com/CybercentreCanada/assemblyline) [](https://github.com/CybercentreCanada/assemblyline-service-capa) [](https://github.com/CybercentreCanada/assemblyline/issues?q=is:issue+is:open+label:service-capa) [](./LICENSE) # CAPA 服务 此服务使用 CAPA 开源库来识别目标程序可能具备的能力。 ## 服务详情 ### 参数： - `renderer`：模块添加了多种输出方法。这些方法可能会在未来的某个时间点被移除，但目前，它们提供了不同级别的信息。参数的默认值可由管理员修改，并且渲染器可以在每次提交时进行选择。 - “简单” 渲染器显示一个无上下文的纯能力列表。 - “默认” 渲染器模拟 capa 的默认输出（当未指定 `-v` 或 `-vv` 时）。将显示三个表格：ATT&CK、MBC 和其他能力。 - “详细” 渲染器。此选项基于 capa 的 `-vv`（非常详细）选项构建，但不显示地址部分，仅显示命名空间、描述、ATT&CK 和 MBC 值。每个能力都会成为自己可折叠的结果部分。 ### 配置（由管理员设置）： - `max_file_size`：忽略任何大于此大小的文件（默认值：500KB）。由于 capa 非常耗时，任何大于此参数的文件大小都将被完全忽略，模块将提前返回，不产生任何结果。因此，该模块将出现在用户界面的“空结果”部分。 ### 重要的服务级配置： - `timeout`：允许模块在超时前运行的时间（默认值：5分钟）。 - `docker_config.ram_mb`：模块可以使用的 RAM 量（默认值：4GB）。 ## 镜像变体和标签 Assemblyline 服务基于 [Assemblyline 服务基础镜像](https://hub.docker.com/r/cccs/assemblyline-v4-service-base) 构建， 该镜像基于 Debian 11 和 Python 3.11。 Assemblyline 服务使用以下标签定义： | **标签类型** | **描述** | **示例标签** | | :----------: | :----------------------------------------------------------------------------------------- | :------------------- | | latest | 最新构建（可能不稳定）。 | `latest` | | build_type | 使用的构建类型。`dev` 是最新的不稳定构建。`stable` 是最新的稳定构建。 | `stable` 或 `dev` | | series | 完整的构建详情，包括版本和构建类型：`version.buildType`。 | `4.5.stable`, `4.5.1.dev3` | ## 运行此服务 这是一个 Assemblyline 服务。它旨在作为 Assemblyline 框架的一部分运行。 如果你想在本地测试此服务，可以直接从 shell 运行 Docker 镜像： ``` docker run \ --name Capa \ --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \ --network=host \ cccs/assemblyline-service-capa ``` 要将此服务添加到你的 Assemblyline 部署中，请遵循此 [指南](https://cybercentrecanada.github.io/assemblyline4_docs/developer_manual/services/run_your_service/#add-the-container-to-your-deployment)。 ## 文档 通用的 Assemblyline 文档可在以下地址找到：https://cybercentrecanada.github.io/assemblyline4_docs/ # CAPA 服务 此服务使用 CAPA 开源库来识别目标程序可能具备的能力。 ## 服务详情 ### 参数： - `renderer`：模块添加了多种输出方法。这些方法可能会在未来的某个时间点被移除，但目前，它们提供了不同级别的信息。参数的默认值可由管理员修改，并且渲染器可以在每次提交时进行选择。 - “简单” 渲染器显示一个无上下文的纯能力列表。 - “默认” 渲染器模拟 capa 的默认输出（当未指定 `-v` 或 `-vv` 时）。将显示三个表格：ATT&CK、MBC 和其他能力。 - “详细” 渲染器。此选项基于 capa 的 `-vv`（非常详细）选项构建，但不显示地址部分，仅显示命名空间、描述、ATT&CK 和 MBC 值。每个能力都会成为自己可折叠的结果部分。 ### 配置（由管理员设置）： - `max_file_size`：忽略任何大于此大小的文件（默认值：500KB）。由于 capa 非常耗时，任何大于此参数的文件大小都将被完全忽略，模块将提前返回，不产生任何结果。因此，该模块将出现在用户界面的“空结果”部分。 ### 重要的服务级配置： - `timeout`：允许模块在超时前运行的时间（默认值：5分钟）。 - `docker_config.ram_mb`：模块可以使用的 RAM 量（默认值：4GB）。 ## 镜像变体和标签 Assemblyline 服务基于 [Assemblyline 服务基础镜像](https://hub.docker.com/r/cccs/assemblyline-v4-service-base) 构建， 该镜像基于 Debian 11 和 Python 3.11。 Assemblyline 服务使用以下标签定义： | **标签类型** | **描述** | **示例标签** | | :----------: | :----------------------------------------------------------------------------------------- | :------------------- | | latest | 最新构建（可能不稳定）。 | `latest` | | build_type | 使用的构建类型。`dev` 是最新的不稳定构建。`stable` 是最新的稳定构建。 | `stable` 或 `dev` | | series | 完整的构建详情，包括版本和构建类型：`version.buildType`。 | `4.5.stable`, `4.5.1.dev3` | ## 运行此服务 此服务专门针对在 Assemblyline 部署框架内运行进行了优化。 如果你想在本地测试此服务，可以直接从终端运行 Docker 镜像： ``` docker run \ --name Capa \ --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \ --network=host \ cccs/assemblyline-service-capa ``` 要将此服务添加到你的 Assemblyline 部署中，请遵循此 [指南](https://cybercentrecanada.github.io/assemblyline4_docs/fr/developer_manual/services/run_your_service/#add-the-container-to-your-deployment)。 ## 文档 通用的 Assemblyline 文档可在以下地址找到：https://cybercentrecanada.github.io/assemblyline4_docs/

标签：AMSI绕过, Assemblyline, ATT&CK框架, CAPA, DAST, MBC框架, 二进制发布, 分析平台, 威胁情报, 威胁检测, 安全服务, 开发者工具, 开源工具, 恶意软件分析, 程序行为分析, 网络安全, 能力识别, 自动化分析, 请求拦截, 跨站脚本, 逆向工具, 隐私保护