卡顿-MISP推送器

监听卡顿管道中的新样本并将其上传到MISP。

使用mwdb-iocextract项目解析配置。这意味着，我们处理的是高于原始JSON配置的高级层面，使得关联不同的样本和活动（例如，通过使用的加密材料）成为可能。

作者：CERT.pl

维护者：nazywam

消耗

{
    "type": "config",
}

结果

用法

首先，请确保您已设置核心系统：https://github.com/CERT-Polska/karton。更多信息请参见此处。

然后从PyPi安装卡顿-MISP推送器

$ pip install karton-misp-pusher

$ karton-misp-pusher --misp-url https://misp.url --misp-key SECRET123

您还可以使用--mwdb-url添加可选的mwdb引用，或使用--misp-insecure跳过MISP验证。更多选项请参阅--help。

添加银河系集群关系

可以使用映射文件将新事件链接到现有的MISP银河系集群。

映射文件是一个简单的JSON文档，为您的生态系统中的每个恶意软件家族分配一个集群UUID。

以下是一个使用Malpedia MISP银河系的示例

{
    "404keylogger": "6b87fada-86b3-449d-826d-a89858121b68",
    "agenttesla": "b88e29cf-79d9-42bc-b369-0383b5e04380",
    "amadey": "77f2c81f-be07-475a-8d77-f59b4847f696"
}

值可以为null，在这种情况下，将静默忽略该家族的配置而不是引发错误。如果您想忽略特定家族的配置，这将很有用。

准备好后，您可以使用--galaxy-clusters-mapping参数指向该文件来启动卡顿服务。