activecm/rita

# RITA (Real Intelligence Threat Analytics) [](https://www.activecountermeasures.com/free-tools/rita/) 如果您从 RITA 中获益，并希望进一步通过自动化狩猎、未来感可视化以及数据增强来提升能力，请查看 [AC-Hunter](https://www.activecountermeasures.com/)。 由 [Active Countermeasures](https://activecountermeasures.com/) 提供。 由 [BHIS](https://www.blackhillsinfosec.com/) 赞助。 RITA 是一个用于网络流量分析的开源框架。 该框架摄取 TSV 或 JSON 格式的 [Zeek Logs](https://www.zeek.org/)，目前支持以下主要功能： - **Beaconing 检测**：搜索网络内外信标行为的迹象 - **长连接检测**：轻松查看长时间通信的连接 - **DNS 隧道检测**：搜索基于 DNS 的隐蔽通道迹象 - **威胁情报源检查**：查询威胁情报源以搜索可疑域名和主机 ## 快速入门 请参阅我们推荐的 [系统要求](docs/System%20Requirements.md)。 1. 下载所需版本的 [RITA 安装程序](https://github.com/activecm/rita/releases)。 2. 解压安装程序 tar 包。 tar -xf rita--installer.tar.gz 3. 运行安装脚本。 ./rita--installer/install_rita.sh 要在本地系统上安装 RITA，请将 `localhost` 传递给安装程序。 要在一个或多个远程系统上安装 RITA，请将逗号分隔的 IP 列表、`user@ip` 或 FQDN 传递给安装程序。 例如： ./rita--installer/install_rita.sh "root@4.4.4.4,8.8.8.8,mydomain.com" ### 支持的平台 支持以下操作系统/版本和 CPU 架构： | OS | Versions | Platform | | :-------------- | :--------------- | :------- | | CentOS | `9 Stream` | `amd64` | | Rocky | `9` | `amd64` | | RHEL | `9` | `amd64` | | Ubuntu | `22.04`, `24.04` | `amd64` | ## 安装 Zeek 如果您尚未安装 Zeek，可以从 [docker-zeek](https://github.com/activecm/docker-zeek) 进行安装。 ``` sudo wget -O /usr/local/bin/zeek https://raw.githubusercontent.com/activecm/docker-zeek/master/zeek sudo chmod +x /usr/local/bin/zeek zeek start ``` ## 导入 使用 `import` 命令将数据导入 RITA： ``` rita import --database=mydatabase --logs=~/mylogs ``` `database` 是您希望命名的数据集名称 `logs` 是您希望导入的 Zeek 日志路径 对于应随时间累积数据的数据集，如果日志包含当前的网络信息（少于 24 小时），请在创建时以及随后每次导入数据集时使用 `--rolling` 标志。最常见的用例是每小时通过 cron 作业从 Zeek 传感器导入日志。 注意：对于包含超过 24 小时日志但已过期（超过 24 小时前）的数据集，只需导入日志集的顶级目录，**不要**使用 `--rolling` 标志。使用 `--rolling` 标志导入这些日志可能会导致结果不正确。 要销毁并重建数据集，请使用 `--rebuild` 标志。 ## 配置 有关调整评分的详细信息，请参阅 [配置](/docs/Configuration.md)。 ## 搜索 RITA 遵循 GitHub 风格的搜索语法。每个字段都遵循 `:` 格式，每个搜索条件用空格分隔。 例如： ``` src:192.168.88.2 dst:165.227.88.15 beacon:>=90 sort:duration-desc ``` ### 支持的搜索字段 | Column | Field | Operators | Data Type | | :---------------- | :------ | :---- | :---- | | Severity | `severity` | | `critical\|high\|medium\|low` | | Source | `src` | | IP address | | Destination | `dst` | | IP address, FQDN | | Beacon Score | `beacon` | `>, >=, <, <=` | whole number | Duration | `duration` | `>, >=, <, <=` | string, ex:(`2h45m`) | Subdomains | `subdomains` | `>, >=, <, <=` | whole number | | Threat Intel | `threat_intel` | | `true\|false` | ### 支持的排序字段 排序语法为 `sort:-`，排序方向 `asc` 表示升序，`desc` 表示降序。 支持的列： - severity - beacon - duration - subdomains ## CSV 输出 要将结果输出为 CSV 而不是在终端 UI 中查看，请将 `--stdout` 或 `-o` 标志传递给 `view` 命令： *该标志必须位于数据集名称之前。* ``` rita view --stdout mydataset ``` ## 终端 UI 颜色支持 终端 UI (TUI) 默认支持彩色输出。无需启用。 检查 `"$TERM"` 变量的值，它应该是 `xterm-256color`。如果不是，请在您的操作系统对应的 `~/.bash_profile`、`~/.profile` 等文件中设置此变量。 根据终端的颜色主题，TUI 将自动调整为浅色模式或深色模式。 如果您追求极致并喜欢漂亮的颜色，可以考虑使用 [Catpuccin](https://catppuccin.com/ports?q=terminal) 主题！

标签：C2检测, DNS隧道检测, EVTX分析, IP 地址批量处理, Rootkit, SOC工具, Zeek, 代码示例, 信标检测, 威胁情报, 威胁搜寻, 安全分析框架, 安全运营, 开发者工具, 开源安全工具, 异常检测, 恶意软件通信, 扫描框架, 数据分析, 日志审计, 漏洞发现, 网络安全, 网络安全监控, 逆向工程平台, 长连接检测, 隐私保护, 驱动开发