Questo repository traccia le attività del gruppo operativo per la sperimentazione di un meccanismo di Info Sharing della community Cyber Saiyan
Il gruppo è stato avviato a seguito di una web conf tenuta il giorno 8 Novembre 2018 il cui resoconto è disponibile qui.
L'obiettivo è quello di creare una community italiana che funzioni da collettore degli indicatori "pregiati" già disponibili e condivisi da fonti autorevoli (get di indicatori) e al contempo possa contribuire con le proprie expertise all'arricchimento della rete di condivisione (push indicatori sulla rete).
Di seguito l'architettura di COMMUNITY che si è implementata, che prevede due componenti distinte
- la componente PRODUCER realizzata attraverso il software OpenTAXII su cui è stata configurata una collection denominata community su cui è abilitato il PUSH autenticato di IoC in formato STIX 1.2
- la componente CONSUMER realizzata attraverso il software Minemeld che effettua periodicamente il POLL degli IoC dalla collection community di OpenTAXII e "ribalta" tali indicatori su due feed distinti (testo e STIX/TAXII)
Di seguito è illustrata l'architettura implementata
Le componenti CONSUMER del servizio sono accessibili in vari formati
- formato STIX/TAXII: formato STIX 1.2 over TAXII 1.1, IoC completi di informazioni di contesto (originatore, minaccia, descrizione)
- formato TESTO / CSV / JSON: IoC semplici, con informazioni di contesto rimosse e consumabili velocemente per detection (SIEM) e prevention (blocchi firewall)
La componente PRODUCER può essere alimentata
- da interfaccia web all'indirizzo https://infosharing.cybersaiyan.it/producer/ [TODO]
- usando lo script python per generare i file STIX che poi devono essere caricati sulla rete (PUSH su servizio OpenTAXII)
La cartella CONTRIB contiene esempi di integrazione CONSUMER e PRODUCER in fase di test da parte della community
- CONSUMER/Graylog: integrazione del feed in Graylog
- PRODUCER/Yeti: Export template per precompilare observable di yeti in formato utilizzabile con lo script PRODUCER
La guida all'installazione del server e del software di base è disponibile qui.
Le configurazioni dei software (OpenTAXII e Minemeld) saranno descritte in seguito [TODO].
Il progetto è un'iniziativa volontaria portata avanti dalla community di Cyber Saiyan. E' stato creato un gruppo Telegram per coordinare l'evoluzione del progetto.