IntelMQ je rješenje open-source dizajnisano da pomogne IT sigurnosnim timovima (uključujući CERT-ove, CSIRT-ove, SOC-ove i odjele za zloupotrebu) da pojednostave prikupljanje i obradu sigurnosnih feed-ova koristeći protokol za razmjenu poruka.
„Prvobitno dizajnisan za CSIRT-ove, a kasnije usvojen od strane SOC-ova, IntelMQ se razvio u svestran alat za sve sigurnosne timove. Sa modularnim i proširivim dizajnom, podržava različite dodatke za unos, obradu i izlaz, omogućavajući besprijekornu integraciju s postojećim radnim tokovima. Izgrađen za potpunu automatizaciju, značajno smanjuje radno opterećenje u poređenju s tradicionalnim procesima, omogućavajući timovima da se fokusiraju na specijalizovane zadatke“, rekao je Sebastian Wagner, održavatelj IntelMQ-a, za Help Net Security.
Iako inspirisan AbuseHelper-om, IntelMQ je potpuno prepisan od nule s nekoliko ključnih poboljšanja:
- Pojednostavljena administracija: Smanjuje složenost sistema radi lakšeg implementiranja i upravljanja.
- Fleksibilno kreiranje botova: Pojednostavljuje razvoj novih botova za obradu različitih podataka.
- Postojanost podataka: Osigurava da događaji nisu izgubljeni čak ni u slučaju pada sistema.
- Standardizovana obrada podataka: Koristi i poboljšava postojeću ontologiju za harmonizaciju podataka.
- Razmjena poruka zasnovana na JSON-u: Koristi JSON format za besprijekornu razmjenu podataka.
- Besprijekorna integracija skladištenja: Podržava PostgreSQL, Elasticsearch, Splunk i druge kolektore logova.
- Upravljanje crnim listama: Pruža jednostavan način za kreiranje i održavanje black lista.
- Interoperabilnost vođena API-jem: Olakšava integraciju s drugim sistemima putem RESTful HTTP API-ja.
„IntelMQ slijedi KISS princip, osiguravajući da svaka komponenta ima jednu, jasno definisanu funkciju uz mogućnosti prilagođavanja za složene radne tokove. Kao projekt otvorenog koda vođen zajednicom, kontinuirano se razvija zahvaljujući globalnim doprinosima. Dizajnisan za skalabilnost, efikasno rukuje raznovrsnim feedovima podataka, uključujući one od Shadowservera, i integriše se s vodećim platformama za cyber sigurnost kao što su MISP, RTIR, Shodan i komercijalna rješenja poput ESET-a, FireEye-a, McAfee-a i AnubisNetworks-a“, objasnio je Sebix.
Rješenje se često koristi za:
- Automatizirano upravljanje incidentima
- Situacionu svijest
- Automatizirane obavijesti
- Prikupljanje podataka za druge alate
Budući planovi i preuzimanje
„Kao projekt vođen zajednicom, IntelMQ se razvija kako bi zadovoljio potrebe svojih korisnika, kontinuirano se prilagođavajući promjenama u feed-ovima podataka i povezanim alatima. Budući planovi uključuju proširene integracije, poboljšano korisničko iskustvo, unaprijeđenu kontrolu toka, izvorno višestruko procesiranje koristeći napretke u Pythonu i podršku za grupisane podatke“, zaključio je Sebix.
IntelMQ je besplatno dostupan na GitHub-u.
Izvor:Help Net Security