IntelMQ, BT güvenlik ekiplerine (sertifikalar, CSIRS, SOCS ve istismar departmanları dahil) yardımcı olmak için tasarlanmış açık kaynaklı bir çözümdür. Bir mesaj kuyruğu protokolü kullanarak güvenlik yayınlarının toplanmasını ve işlenmesini kolaylaştırır.
“Başlangıçta CSIRT’ler için tasarlandı ve daha sonra SOCS tarafından benimsenen IntelMQ, tüm güvenlik ekipleri için çok yönlü bir araca dönüştü. Modüler ve genişletilebilir bir tasarımla, mevcut iş akışlarıyla sorunsuz entegrasyon sağlayan çeşitli giriş, işleme ve çıkış eklentilerini destekler. Tam otomasyon için oluşturulan, geleneksel süreçlere kıyasla iş yükünü önemli ölçüde azaltır ve ekiplerin özel görevlere odaklanmasına izin verir. ”
ImuseHelper’den esinlenirken, IntelMQ birkaç temel iyileştirme ile tekrar yazıldı:
- Basitleştirilmiş Yönetim: Daha kolay dağıtım ve yönetim için sistem karmaşıklığını azaltır.
- Esnek Bot oluşturma: Farklı veri beslemelerini işlemek için yeni botların geliştirilmesini kolaylaştırır.
- Veri kalıcılığı: Bir sistem çökmesi durumunda bile olayların kaybolmamasını sağlar.
- Standart Veri İşleme: Mevcut veri uyumlaştırma ontolojisinden yararlanır ve geliştirir.
- JSON merkezli mesajlaşma: Kesintisiz veri alışverişi için JSON formatını kullanır.
- Kesintisiz depolama entegrasyonu: PostgreSQL, Elasticsearch, Splunk ve diğer günlük koleksiyoncuları destekler.
- Özel Kara Liste Yönetimi: Kara listeler oluşturmak ve sürdürmek için basit bir yol sağlar.
- API güdümlü birlikte çalışabilirlik: RESTful bir HTTP API ile diğer sistemlerle entegrasyonu kolaylaştırır.
“IntelMQ, KISS prensibini takip eder ve her bir bileşenin karmaşık iş akışları için özelleştirme seçenekleri sunarken tek, iyi tanımlanmış bir işlevi olmasını sağlar. Topluluğa dayalı açık kaynaklı bir proje olarak, küresel katkılarla sürekli olarak gelişir. Ölçeklenebilirlik için tasarlanan, Shadowserver’dan olanlar da dahil olmak üzere çeşitli veri beslemelerini etkili bir şekilde işler ve ESET, FireEye, McAfee ve Anubisnetworks gibi MISP, RTIR, Shodan ve ticari çözümler gibi önde gelen siber güvenlik platformlarıyla entegre olur ”diye açıkladı Sebix.
Çözüm sıklıkla aşağıdakiler için kullanılır:
- Otomatik olay işleme
- Durumsal farkındalık
- Otomatik Bildirimler
- Diğer araçlar için veri toplayıcı olarak
Gelecek Planları ve İndir
“Toplum güdümlü bir proje olarak IntelMQ, kullanıcılarının ihtiyaçlarını karşılamak için gelişiyor ve veri beslemelerindeki ve ilgili araçlardaki değişikliklere sürekli uyum sağlıyor. Gelecek planları, genişletilmiş entegrasyonlar, gelişmiş kullanıcı deneyimi, gelişmiş akış kontrolü, yerel çok işlemci kaldıraç python gelişmeleri ve gruplandırılmış veriler için destek içeriyor ”dedi.
IntelMQ GitHub’da ücretsiz olarak kullanılabilir.
Okumalı: