IntelMQ是一个用于IT安全团队通过消息队列协议收集和处理安全订阅源的数据解决方案。
项目描述
简介
IntelMQ 是一种针对 IT 安全团队(CERTs & CSIRTs、SOC 滥用部门等)的解决方案,用于通过消息队列协议收集和处理安全信息(如日志文件)。它是一个名为 IHAP[^1](事件处理自动化项目)的社区驱动倡议,由欧洲 CERTs/CSIRTs 在多个信息安全事件期间概念化设计。其主要目标是向事件响应者提供一个简单的方法来收集和处理威胁情报,从而提高 CERTs 的事件处理流程。
IntelMQ 常用于
- 自动化事件处理
- 态势感知
- 自动化通知
- 作为其他工具的数据收集器
- 等等!
设计受到 AbuseHelper 的影响,但它是从头重新编写的,旨在
- 降低系统管理的复杂性
- 降低编写新数据馈送的新脚本的复杂性
- 通过持久性功能降低事件在所有过程中丢失的概率(即使系统崩溃)
- 使用并改进现有的数据和谐本体
- 使用 JSON 格式发送所有消息
- 提供将数据存储到数据库和日志收集器(如 PostgreSQL、Elasticsearch 和 Splunk)的简单方法
- 提供创建自己的黑名单的简单方法
- 通过 HTTP RESTful API 提供与其他系统进行简单通信的方法
它遵循以下基本元指南
- 不要破坏简单性 - KISS
- 保持开源 - 永远开源
- 在保持截止日期的同时追求完美
- 减少复杂性/避免功能膨胀
- 拥抱单元测试
- 代码可读性:用经验不足的程序员进行测试
- 明确沟通
贡献力量
- 订阅 IntelMQ 开发者邮件列表 并参与讨论
- 通过 问题 报告任何错误并建议改进
- 阅读开发者指南并提交 拉取请求
[^1]: 事件处理自动化项目,邮件列表: ihap@lists.trusted-introducer.org
下载文件
下载适用于您的平台的文件。如果您不确定选择哪个,请了解更多关于安装包的信息。
源代码分发
intelmq-3.3.1.tar.gz (2.5 MB 查看哈希值)
构建分发
intelmq-3.3.1-py2.py3-none-any.whl (950.0 kB 查看哈希值)