Dovehawk Zeek模块使用Zeek（Bro）和MISP进行威胁搜寻该模块使用Zeek的内置智能框架自动加载和监视MISP的签名。指标每4个小时从MISP下载一次，命中率（称为瞄准）会立即报告给MISP。该模块还包括Jan Grashoefer的到期代码的自定义版本，用于从MISP中删除指标后将其删除。指标已下载并读入内存。 signature.sig中的内容签名是MISP网络活动->从MISP下载的zeek项。事件文本应以“ MISP：”开头（有关示例，请参阅示例内容签名部分）。必须重新启动Zeek才能摄取内容签名。要自动执行此操作，我们建议使用zeekctl和包含的文件描述的重新启动cron重新启动Zeek。可选的Slack.com网络挂钩报告。屏幕截图 Dovehawk从MISP下载指标鸠鹰瞄准镜上传 MISP瞄准松弛网钩英特尔产品过期样本内容签

资源推荐

资源详情

资源评论