Browse By

AMIRA – Análise e resposta automatizada a incidentes com malware

O AMIRA é um serviço para executar automaticamente a análise nos arquivos de saída OSXCollector . A análise automatizada é realizada através dos Filtros de saída OSXCollector , em particular O filtro para governar todos : o filtro de análise . O AMIRA se encarrega de recuperar os arquivos de saída de um bucket do S3, executando o Filtro de Análise e fazendo o upload dos resultados da análise de volta para o S3 (embora se possa imaginar também anexá-los ao ticket do JIRA relacionado).
Pré-requisitos

tox
As etapas a seguir pressupõem que você tenha o tox instalado em sua máquina. 
Se não for esse o caso, execute:

$ sudo pip install tox

Arquivo de configuração OSXCollector Output Filters O
AMIRA usa OSXCollector Output Filters para fazer a análise real, portanto, você precisará ter um osxcollector.yaml arquivo de configuração válido no diretório de trabalho. O arquivo de configuração de exemplo pode ser encontrado nos Filtros de Saída OSXCollector . 
O arquivo de configuração menciona o local do hash do arquivo e as listas negras de domínio. Verifique se os locais da lista negra mencionados no arquivo de configuração também estão disponíveis ao executar o AMIRA. 

Credenciais da AWS O
AMIRA usa boto para fazer interface com a AWS. Você pode fornecer as credenciais usando um dos possíveis arquivos de configuração boto .
As credenciais devem permitir a leitura e exclusão de mensagens SQS da fila SQS especificada na configuração do AMIRA, bem como o acesso de leitura aos objetos no bucket S3 em que os arquivos de saída OSXCollector estão armazenados. Para poder fazer upload dos resultados da análise de volta para o bucket S3 especificado no arquivo de configuração do AMIRA, as credenciais também devem permitir acesso de gravação a esse bucket. 

Arquitetura do AMIRA
O serviço usa as notificações de eventos do bucket S3 para acionar a análise. Você precisará configurar um bucket S3 para os arquivos de saída OSXCollector, para que, quando um arquivo for adicionado lá, a notificação seja enviada para uma fila SQS (AmiraS3EventNotificationsna figura abaixo). O AMIRA verifica periodicamente a fila em busca de novas mensagens e, ao receber uma, buscará o arquivo de saída OSXCollector no bucket S3. Em seguida, ele executará o Filtro de análise no arquivo recuperado. 
O Analyze Filter executa todos os filtros contidos no pacote OSXCollector Output Filters sequencialmente. Alguns deles se comunicam com os recursos externos, como listas negras de domínio e hashes (ou listas de permissões) e APIs da Intel de ameaças, por exemplo , VirusTotal , OpenDNS Investigate ou ShadowServer. A saída OSXCollector original é estendida com todas essas informações e o último filtro executado pelo Analyze Filter resume todas as descobertas em um formato legível por humanos. Depois que o filtro terminar a execução, os resultados da análise serão carregados no bucket S3 de Resultados da Análise . 
A visão geral de todo o processo e os componentes do sistema envolvidos são mostrados abaixo:

Usando o AMIRA
O principal ponto de entrada do AMIRA está noamira/amira.pymódulo. Primeiro, você precisará criar uma instância da classe AMIRA fornecendo o nome da região da AWS, em que a fila SQS com as notificações de eventos para o bucket de saída OSXCollector, e o nome da fila SQS:

from amira.amira import AMIRA

amira = AMIRA('us-west-1', 'AmiraS3EventNotifications')

Em seguida, você pode registrar o remetente dos resultados da análise, por exemplo, o remetente do S3:

from amira.s3 import S3ResultsUploader

s3_results_uploader = S3ResultsUploader('amira-results-bucket')
amira.register_results_uploader(s3_results_uploader)

Por fim, execute o AMIRA:

amira.run()

Vá tomar um café, sente-se, relaxe e aguarde até os resultados da análise aparecerem no balde S3!

Baixar Amira

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.