Solución para recopilar y procesar feeds de seguridad mediante un protocolo de cola de mensajes.

IntelMQ es una solución para los equipos de seguridad de TI (CERT y CSIRT, SOC, departamentos de abuso, etc.) para recopilar y procesar feeds de seguridad (como archivos de registro) utilizando un protocolo de cola de mensajes. Es una iniciativa impulsada por la comunidad llamada IHAP (Incident Handling Automation Project) que fue diseñada conceptualmente por los CERT / CSIRT europeos durante varios eventos de InfoSec. Su objetivo principal es brindar a los respondedores de incidentes una manera fácil de recopilar y procesar inteligencia de amenazas, mejorando así los procesos de manejo de incidentes de los CERT.

IntelMQ se puede utilizar para: manejo automatizado de incidentes, conocimiento de la situación, notificaciones automáticas, como recopilador de datos para otras herramientas, etc.

El diseño de IntelMQ fue influenciado por AbuseHelper, sin embargo, fue reescrito desde cero y apunta a:

  • Reducir la complejidad de la administración del sistema.
  • Reducir la complejidad de escribir nuevos bots para nuevos feeds de datos.
  • Reducción de la probabilidad de eventos perdidos en todos los procesos con funcionalidad de persistencia (incluso bloqueo del sistema).
  • Usar y mejorar la ontología de armonización de datos existente.
  • Usar el formato JSON para todos los mensajes.
  • Proporcionar una manera fácil de almacenar datos en Log Collectors como ElasticSearch, Splunk, bases de datos (como PostgreSQL).
  • Proporcionar una manera fácil de crear listas negras propias.
  • Proporcionar una comunicación fácil con otros sistemas a través de HTTP RESTful API.

Para usarlo hay que seguir las siguientes metapautas básicas:

  • No rompas la simplicidad – KISS.
  • Mantenlo abierto para siempre.
  • Esfuércese por la perfección manteniendo una fecha límite.
  • Reduzca la complejidad/evite usar muchas características.
  • Legibilidad de código: prueba con programadores inexpertos.
  • Comuníquese claramente.

Más información y descarga de IntelMQ : https://github.com/certtools/intelmq

Deja un comentario