Avisos
Vaciar todo

YETI: Your everyday Threat Intelligence Platform  

  RSS

Iván Portillo
(@ivan)
Eminent Member Admin
Registrado: hace 2 años
Respuestas: 30
18/07/2019 9:19 pm  

 

Plataforma de Threat Intelligence (TIP): Yety

 

Descripción:

Yeti es una plataforma enfocada a la organización de observables y la recopilación de indicadores de compromiso (IoC) y TTPs relacionados a estos. Esta herramienta esta ideada para agrupar en un único repositorio todo el conocimiento sobre inteligencia de amenazas con el fin de descubrir y analizar posibles relaciones entre los IoC. Yeti enriquece automáticamente todos los observables de manera transparente para el usuario y proporciona una interfaz atractiva para él. Es un proyecto independiente que tuvo la ayuda del equipo del CERT Société Générale para probar la propia herramienta y orientar en el desarrollo de este. Yeti está pensado para hacer que la gestión de la inteligencia de amenazas sea rápida, eficiente e interoperable.

 

Características básicas:

  • Permite crear un observable por cada amenaza a analizar y agrupar todas las evidencias sobre IoC en su interior.
  • Permite visualizar gráficamente las relaciones entre las diversas amenazas, IoC, actores, etc.
  • Yeti incluye características orientadas a los datos, como los feeds, los análisis y las exportaciones, pero también cuenta con información de más alto nivel, como la descripción de los TTPs y su vinculación con diferentes actores.
  • Yeti es capaz de importar diversos tipos de formatos (XML, JSON, STIX, bulk de datos, PDF, etc) e integrarlos en la plataforma.
  • Permite exportar los resultados en cualquier formato definido por el usuario, además de integrarlos con soluciones de terceros (think blocklist, SIEM).
  • API flexible para integrar Yeti con otras soluciones.  A través de la librería de Python PYETI puedes automatizar todas las consultas deseadas desde cualquier tipo de feed.
  • Utiliza la base de datos MongoDB para almacenar todos los feeds, observables y cualquier tipo de dato a guardar.
  • Usa Redis y Celery para comunicar todas las peticiones de los diferentes servicios que interactúan con Yeti manteniendo una gestión de tareas con todos los procesos.
  • Proyecto open-source desarrollado en python y JavaScript.
  • Yeti es capaz de comunicarse con MISP enviando información desde las comunidades de MISP hasta esta plataforma. Además, el proyecto TheHive, a través de Cortex, puede utilizar Yeti como fuente de enriquecimiento para artefactos de red.
  • Yeti fue diseñado pensando en la modularidad, siendo bastante fácil crear nuevas fuentes, análisis y exportaciones.
  • Yeti se integra a la perfección con los proyectos FAME (FAME Automates Malware Evaluation) y FIR (Fast Incident Response), desarrollados ambos por el CERT Société Générale.
  • FIR analiza cualquier observable presente en la descripción o comentario de un incidente y lo envía a Yeti para descubrir qué sabe de él, mostrando cualquier coincidencia. Por otro lado, los objetos observables no reconocidos pueden ser enviados a Yeti y etiquetados.
  • Siempre que FAME extrae observables de una muestra, los compara con lo que Yeti sabe de esta. Los objetos observables desconocidos, una vez más, pueden ser etiquetados y enviados a Yeti para que puedan asociarse rápidamente con otras muestras enviadas.

 

interaccion yeti otros servicios
yeti,fame, fir

 

 

Imágenes de la plataforma:

OBSERVABLES YETI
ENTIDADES YETI

GRAPH YETI
FEED YETI

 

 

Instalación Yeti

  1. Instalación en Debian/Ubuntu
  2. Instalación mediante docker. Uso de microservicios con docker-compose.

 

Recursos de consulta:

  1. Web oficial: https://yeti-platform.github.io/
  2. Documentación oficial sobre Yeti:
  3. PYETI: Librería Python que permite interactuar con YETI mediante API REST.
  4. YETI_TO_ELASTICSEARCH: Integra Yeti con Elasticsearch
  5. FIR: FIR es una plataforma de gestión de incidentes de ciberseguridad diseñada pensando en la agilidad y la velocidad. Permite crear, rastrear y reportar fácilmente los incidentes de ciberseguridad.
  6. FAME: Plataforma de análisis de malware de código abierto que pretende facilitar el análisis de archivos relacionados con malware, aprovechando el máximo conocimiento posible para acelerar y automatizar el análisis de extremo a extremo.
Este debate ha sido modificado el hace 1 año 5 veces por Iván Portillo

ResponderCitar
Compartir: