前言
MineMeld介绍
MineMeld是一个开源的威胁情报系统,其实现了收集和共享来自各种来源的威胁情报数据。MineMeld具有高度自动化的收集和聚合威胁指标功能,以及易于使用的Web界面和出色的可视化界面。
MineMeld是开源的,以下讲解MineMeld框架的内容
MineMeld的git wiki地址: https://github.com/PaloAltoNetworks/minemeld/wiki,可以帮助我们快速的了解MineMeld框架的使用用途。
1. MineMeld 代码
MineMeld有两个重要的组件,核心代码组件 和 Web组件
分别的地址为:
2. MineMeld组件
- miner 是从各种来源收集威胁情报数据的组件,默认情况下预置了一些miner来实现特定用例场景的功能。如Office365
- processor 用于聚合 miner 获取的数据,目的是防止来自miner的重复输入。processor 处理器处于miner 和 output输出源之间
- output输出源基本上是恶意的URL和IP地址的编译列表,该列表可用于安全策略,主要用于阻止来自这些恶意URL和IP地址的流量
MineMeld的三大组件miner、processor、output的图解如下所示:
默认情况下,MineMeld有4个miners、1个processor、3个output
2.1 miners
可参考对应的代码模块:minemeld.ft.http.HttpFT
dshield_blocklist :参考地址 https://www.dshield.org/
Spamhaus_DROP:参考地址 https://www.spamhaus.org/, 保护用户信息安全,在威胁情报领域中起到领导性作用。用于安全过滤器DNSBL(阻止列表), 以过滤垃圾邮箱为例,参考文档地址为:https://www.spamhaus.org/whitepapers/dnsbl_function/
Spamhaus_EDROP:参考地址 https://www.spamhaus.org/,同上
wlWhiteListIPv4:白名单列表
2.2 processor
可参考对应的代码模块:minemeld.ft.ipop.AggregateIPv4FT
- inboundaggregator:聚合处理器
2.3 output
将聚合处理器处理的结果输出到redis,可参考对应的代码模块:minemeld.ft.redis.RedisSet
- inboundfeedhc
- inboundfeedlc
- inboundfeedmc
