基于华为云快速构建MITRE-ATT&CK作战平台(1)

举报
菊花茶 发表于 2022/03/16 22:59:44 2022/03/16
【摘要】 MITRE-ATT&CK框架相信搞安全的同学没有不懂的,很多大厂近些年都在基于这个框架构建自己的安全能力,从安全运营的攻与防,到安全产品的能力矩阵。MITRE-ATT&CK除了众所周知的TTP矩阵以外还有一些蓬勃发展的开源项目,其中一个非常实用的工具就是ATT&CK-Workbench,它提供了一套界面可以非常方便的对ATT&CK TTP矩阵进行增删改查,非常适合构建企业内部的闭源TTP知识...

MITRE-ATT&CK框架相信搞安全的同学没有不知道的,很多大厂近些年都在基于这个框架构建自己的安全能力,从安全运营的攻与防,到安全产品的能力矩阵。MITRE-ATT&CK除了标志性的TTP矩阵以外还有一些蓬勃发展的开源项目,其中一个非常实用的工具就是ATT&CK-Workbench,它提供了一套界面可以非常方便的对ATT&CK TTP矩阵进行增删改查,非常适合构建企业内部的闭源TTP知识库,是企业践行ATT&CK框架的利器。

长这样.png

本文从实用角度介绍如何基于华为云服务器端到端构建一套Workbench系统,并与ATT&CK Navigator集成,实现企业内部攻防知识的录入和展示,更高级的理论部分后面单独开帖分享。

0x02 环境准备

  1. 购买虚拟机
    规格至少2C4G,需要一个EIP,建议使用1M固定带宽,系统建议选择Centos8.2
    另外强烈建议购买香港region的节点,后续要从github上下载工程代码,国内节点你懂的

  2. 登录虚拟机
    使用SSH登录虚拟机,建议使用mobaxterm客户端

0x03 工程部署

  1. 安装git
yum install -y git
  1. 下载工程代码
# workbench前端工程
git clone https://github.com/center-for-threat-informed-defense/attack-workbench-frontend.git
# workbench API工程
git clone https://github.com/center-for-threat-informed-defense/attack-workbench-rest-api.git
# 数据接口
git clone https://github.com/center-for-threat-informed-defense/attack-workbench-collection-manager.git
  1. 安装docker
    安装docker平台
    为节省配置时间,该项目写好了Dockerfile,建议直接使用docker容器进行构建
yum install -y yum-utils

yum-config-manager  --add-repo https://download.docker.com/linux/centos/docker-ce.repo

yum install -y docker-ce docker-ce-cli containerd.io

启动docker

service docker start

查看启动状态service docker status

安装docker-compose

curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose

这里要掌握docker常用命令,入查看docker容器实例,实例的启停,在容器中执行命令等,不熟悉的同学自行学习

  1. 构建和启动容器
    构建脚本在attack-workbench-frontend工程
cd attack-workbench-frontend
docker-compose up 

构建过程会自动下载依赖的docker镜像,首次构建需要10分钟左右。构建过程写在docker-compose.yml脚本中,可以了解一下docker-compose.yml的书写语法(可选)

  1. 浏览器访问
    到这里服务就构建完成了,用浏览器访问目标服务器的80端口http://x.x.x.x:80/即可看到workbench页面。如果要长期研究,建议配置一下安全组ACL,否则很容易被黑客攻击

此时在服务器上执行docker ps -a可以看到compose脚本拉起了4个容器,这就是workbench工作的节点
image.png

有关Workbench的使用以及他和Navigator的集成,且听下回分解

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。