基于华为云快速构建MITRE-ATT&CK作战平台(1)
MITRE-ATT&CK框架相信搞安全的同学没有不知道的,很多大厂近些年都在基于这个框架构建自己的安全能力,从安全运营的攻与防,到安全产品的能力矩阵。MITRE-ATT&CK除了标志性的TTP矩阵以外还有一些蓬勃发展的开源项目,其中一个非常实用的工具就是ATT&CK-Workbench,它提供了一套界面可以非常方便的对ATT&CK TTP矩阵进行增删改查,非常适合构建企业内部的闭源TTP知识库,是企业践行ATT&CK框架的利器。
本文从实用角度介绍如何基于华为云服务器端到端构建一套Workbench系统,并与ATT&CK Navigator集成,实现企业内部攻防知识的录入和展示,更高级的理论部分后面单独开帖分享。
0x02 环境准备
-
购买虚拟机
规格至少2C4G,需要一个EIP,建议使用1M固定带宽,系统建议选择Centos8.2。
另外强烈建议购买香港region的节点,后续要从github上下载工程代码,国内节点你懂的 -
登录虚拟机
使用SSH登录虚拟机,建议使用mobaxterm客户端
0x03 工程部署
- 安装git
yum install -y git
- 下载工程代码
# workbench前端工程
git clone https://github.com/center-for-threat-informed-defense/attack-workbench-frontend.git
# workbench API工程
git clone https://github.com/center-for-threat-informed-defense/attack-workbench-rest-api.git
# 数据接口
git clone https://github.com/center-for-threat-informed-defense/attack-workbench-collection-manager.git
- 安装docker
安装docker平台
为节省配置时间,该项目写好了Dockerfile,建议直接使用docker容器进行构建
yum install -y yum-utils
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.io
启动docker
service docker start
查看启动状态service docker status
安装docker-compose
curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
这里要掌握docker常用命令,入查看docker容器实例,实例的启停,在容器中执行命令等,不熟悉的同学自行学习
- 构建和启动容器
构建脚本在attack-workbench-frontend
工程
cd attack-workbench-frontend
docker-compose up
构建过程会自动下载依赖的docker镜像,首次构建需要10分钟左右。构建过程写在
docker-compose.yml
脚本中,可以了解一下docker-compose.yml的书写语法(可选)
- 浏览器访问
到这里服务就构建完成了,用浏览器访问目标服务器的80
端口http://x.x.x.x:80/
即可看到workbench页面。如果要长期研究,建议配置一下安全组ACL,否则很容易被黑客攻击
此时在服务器上执行docker ps -a
可以看到compose脚本拉起了4个容器,这就是workbench工作的节点
有关Workbench的使用以及他和Navigator的集成,且听下回分解
- 点赞
- 收藏
- 关注作者
评论(0)