基于华为云快速构建MITRE-ATT&CK作战平台(1)

MITRE-ATT&CK框架相信搞安全的同学没有不知道的，很多大厂近些年都在基于这个框架构建自己的安全能力，从安全运营的攻与防，到安全产品的能力矩阵。MITRE-ATT&CK除了标志性的TTP矩阵以外还有一些蓬勃发展的开源项目，其中一个非常实用的工具就是ATT&CK-Workbench，它提供了一套界面可以非常方便的对ATT&CK TTP矩阵进行增删改查，非常适合构建企业内部的闭源TTP知识库，是企业践行ATT&CK框架的利器。

本文从实用角度介绍如何基于华为云服务器端到端构建一套Workbench系统，并与ATT&CK Navigator集成，实现企业内部攻防知识的录入和展示，更高级的理论部分后面单独开帖分享。

0x02 环境准备

1. 购买虚拟机
   规格至少2C4G，需要一个EIP，建议使用1M固定带宽，系统建议选择Centos8.2。
   另外强烈建议购买香港region的节点，后续要从github上下载工程代码，国内节点你懂的

2. 登录虚拟机
   使用SSH登录虚拟机，建议使用mobaxterm客户端

0x03 工程部署

1. 安装git

yum install -y git

4. 下载工程代码

# workbench前端工程
git clone https://github.com/center-for-threat-informed-defense/attack-workbench-frontend.git
# workbench API工程
git clone https://github.com/center-for-threat-informed-defense/attack-workbench-rest-api.git
# 数据接口
git clone https://github.com/center-for-threat-informed-defense/attack-workbench-collection-manager.git

5. 安装docker
   安装docker平台
   为节省配置时间，该项目写好了Dockerfile，建议直接使用docker容器进行构建

yum install -y yum-utils

yum-config-manager  --add-repo https://download.docker.com/linux/centos/docker-ce.repo

yum install -y docker-ce docker-ce-cli containerd.io

启动docker

service docker start

查看启动状态service docker status

安装docker-compose

curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose

这里要掌握docker常用命令，入查看docker容器实例，实例的启停，在容器中执行命令等，不熟悉的同学自行学习

6. 构建和启动容器
   构建脚本在attack-workbench-frontend工程

cd attack-workbench-frontend
docker-compose up 

构建过程会自动下载依赖的docker镜像，首次构建需要10分钟左右。构建过程写在docker-compose.yml脚本中，可以了解一下docker-compose.yml的书写语法(可选)

7. 浏览器访问
   到这里服务就构建完成了，用浏览器访问目标服务器的80端口http://x.x.x.x:80/即可看到workbench页面。如果要长期研究，建议配置一下安全组ACL，否则很容易被黑客攻击

此时在服务器上执行docker ps -a可以看到compose脚本拉起了4个容器，这就是workbench工作的节点

有关Workbench的使用以及他和Navigator的集成，且听下回分解