STIX2_ES_detection

带有STIX 2.0的实时日志分析工具 我们发布了研究使用的工具。 这些工具在以下环境中进行了测试。 弹性堆叠 弹性搜索：5.6.4 Logstash：5.6.4 的Python 3 代理服务器 鱿鱼：3.3 文件拍：5.5.1 实时检测实时传输代理日志时，Logstash启动的检测程序。 该工具将每个代理日志与黑名单进行比较，如果匹配，则发送警报邮件。 另外，将标记“ matched”添加到“ squid”索引的“ indicator”字段中，以指示日志与黑名单匹配。 将工具放在运行Logstash的服务器上。 用途如下。 指定conf文件路径，以便Logstash在启动过程中可以加载“ logstash.con”。 例如）logstash -f /etc/logstash/conf.d/logstash.conf和当Logstash从Filebeat接收日志时，启动启动检