IntelMQ 是 IT 安全团队使用消息队列协议收集和处理安全馈送的解决方案。
项目描述
欢迎来到 IntelMQ!
IntelMQ是 IT 安全团队(CERT 和 CSIRT、SOC、滥用部门等)使用消息队列协议收集和处理安全馈送(例如日志文件)的解决方案。这是一个社区驱动的计划,称为IHAP(事件处理自动化项目),由欧洲 CERT/CSIRT 在几个信息安全事件期间概念性地设计。其主要目标是为事件响应者提供一种简单的方法来收集和处理威胁情报,从而改进 CERT 的事件处理流程。
IntelMQ 可用于 - 自动化事件处理 - 态势感知 - 自动化通知 - 作为其他工具的数据收集器 - 等等。
IntelMQ 的设计受到 AbuseHelper 的影响,但它是从头开始重写的,旨在:
降低系统管理的复杂性
降低为新数据馈送编写新机器人的复杂性
使用持久性功能降低所有进程中事件丢失的概率(甚至系统崩溃)
使用和改进现有的数据协调本体
对所有消息使用 JSON 格式
提供将数据存储到 ElasticSearch、Splunk、数据库(如 PostgreSQL)等日志收集器的简便方法
提供创建自己的黑名单的简单方法
通过 HTTP RESTful API 提供与其他系统的轻松通信
它遵循以下基本元准则:
不要破坏简单性 - KISS
保持开源 - 永远
力求完美,同时保持最后期限
降低复杂性/避免功能膨胀
拥抱单元测试
代码可读性:与没有经验的程序员一起测试
沟通清楚
有关支持问题,请联系 intelmq-users 邮件列表
IntelMQ 管理器和更多工具
几个软件围绕 IntelMQ 发展。例如,查看IntelMQ Manager,它是一个基于 Web 的界面,可以轻松管理 IntelMQ 系统。
更多工具可以在文档的生态系统章节中找到。
如何参加
IntelMQ 是一个社区项目,取决于您的贡献。请考虑分享您的工作。
查看我们的开发人员指南以获取文档。
订阅Intelmq-dev 邮件列表以获取您的开发问题的答案:
Github 问题列出了所有开放的功能请求、错误报告和想法。
一些开发人员也在 IRC:irc.freenode.net 上的频道 #intelmq。
事件处理自动化项目
执照
该软件在 GNU Affero 通用公共许可证版本 3 下获得许可
资金
该项目部分由 CEF 框架资助
<图>
</图>
