Anomali免费STIX / TAXII威胁情报工具

Anomali免费STIX/TAXII威胁情报工具

威胁情报领域里，STIX(结构化威胁信息表达)和TAXII(可信自动化指标信息交换)，是分析师以标准化方式获取情报的两项核心技术。

STAXX没有内置任何限制，企业可随便配置馈送源。Anomali的目标是让STAXX成为发现、访问和管理威胁情报馈送最简单最高效的方式。免费策略可使尽可能多的使用户和公司取得有价值的威胁情报信息。

从部署和安装的角度出发，就像Soltra一样，STAXX是完全免费的。使用户只要要在anomali.com/staxx进行注册，同意许可条款，而后下载安装STAXX软件。

Anomali提供了直观的STIX/TAXII配置向导，轻松配置过后就可开始访问威胁情报。STAXX可部署在VMware或者 Virtual Box 虚拟机中或者docker中。

下载地址：https://www.anomali.com/product/staxx

其中VMware版本基于CentOS linux 7 (Core),主机默认使用户名和密码分别为

anomali/anomalistaxx

浏览器访问STAXX为

https://xxx.xxx.xxx.xxx:8080

初次访问页面后配置几步后就可正常用

开源威胁feeds

http://hailataxii.com/taxii-discovery-service

guest/guest

Anomali默认提供的是OVA文件，用起来不灵活，于是就想移植到容器中

1.获取Anomali安装文件

通过vmware工作站进入OVA虚拟机中，把安装文件传输至远程容器宿主机

#scp /opt/anomali_staxx_3.1.0_539_linux64.bin 192.168.66.12

2.容器中安装Anomali

2.1。首先用CentOS的镜像启动一个anomali容器

#docker run -d --name anomali -h anomali --privileged = true -p 2222：8080 centos

anomali默认用端口为8080，为了避免与其它容器服务端口冲突，改成了2222

2.2。配置容器内使用户及相应权限

#docker exec anomali useradd anomali

#docker exec anomali chown -R anomali：anomali / *

2.3。复制anomali安装文件至容器

#docker cp anomali_staxx_3.1.0_539_linux64.bin anomali：/ home / anomali /

2.4。执行安装

#docker exec -it anomali bash

#su anomali

#cd / home / anomali

＃。/anomali_staxx_3.1.0_539_linux64.bin

启动Anomali Staxx的所有服务

开始Postgres ... [DONE]

检查postgres ......完成

启动服务器... [完成]

所有服务都成功启动

您可以访问https：// 5b3f35a0772f：8080访问Anomali Staxx

请设置xlink systemd服务，以root身份运行以下命令：/ opt / bin / install_service。

- 要取得有关安装启动服务的进一步帮助，请运行：/ opt / bin / install_service help

根据提醒以根使用户执行的/ opt /斌/ install_service建立XLink的系统服务

3.web访问

https://192.168.66.12:2222/login/

目前的威胁情报已可检测 Bad Rabbit勒索软件