人工智能驱动的自动化网络安全威胁检测平台
Watcher 是一个 Django 和 React JS 平台,旨在通过 AI 驱动的威胁情报分析发现和监控新兴的网络安全威胁。它可以部署在Web服务器上,也可以通过Docker快速运行。
观察者功能
Watcher 通过全面的威胁检测和监控赋能您的安全运营:
-
AI驱动的威胁情报------通过自动每周摘要五大网络安全热门话题、实时突发新闻提醒、任何安全关键词的按需摘要(包括相关 CVE 和威胁行为者详情)将原始威胁数据转化为可作的情报。
-
新兴威胁检测 ------通过来自CERT-FR(www.cert.ssi.gouv.fr)、CERT-EU(www.cert.europa.eu)、US-CERT(www.us-cert.gov)、澳大利亚网络安全中心(www.cyber.gov.au)等RSS订阅来监测网络安全趋势。跟踪新漏洞、恶意软件活动和威胁警报。
-
合法域名管理------集中批准域名,包含到期、回购状态、注册商信息和联系方式。轻松将受监控的恶意域名转换为合法域名。
-
信息泄露监控------检测跨网络的敏感数据暴露,包括Pastebin、StackOverflow、GitHub、GitLab、Bitbucket、APKMirror、npm注册表及其他平台。及早发现泄露的凭证、API密钥和机密信息。
-
恶意域监控 ------监控恶意域名的IP地址、邮件/MX记录和网页内容的变化。使用 TLSH 模糊哈希来检测修改。自动与注册商进行RDAP/WHOIS查询及到期提醒。
-
可疑域名检测------通过以下方式识别针对您组织的潜在恶意域名:
- 域生成算法 检测 使用 dnstwist 检测错拼字抢注、同形攻击及类似领域变体
- 通过certstream进行证书透明度监控,实时捕捉新注册的可疑域名
附加功能
通过强大的集成和管理工具扩展Watcher的功能:
- TheHive 全同步 ------与 TheHive 集成,具备自动警报生成、智能案件管理、IOC 丰富功能以及即用的 Cortex 分析器和响应器。详细配置见此处的文档。
- MISP集成 ------通过智能UUID跟踪、自动对象创建和手动属性更新,无缝将攻破指标(IOC)导出到MISP,实现协作威胁情报共享
- 灵活认证------支持 LDAP 和本地认证系统
- 智能通知------接收电子邮件、Slack或Citadel提醒,涵盖关键发现和阈值违规
- 工单系统集成------自动向工单系统提供安全发现
- 全面的管理界面------通过Django强大的管理面板管理Watcher的所有方面
- 高级访问控制------用于团队协作的细致用户权限和组管理
- 现代界面体验------现代界面,具备可自定义主题、可调整大小的仪表盘面板、高级过滤及保存的筛选集,以及持久的用户偏好
涉及的依赖关系
Watcher 利用开源工具和库:
- 拥抱面变形金刚------驱动威胁情报摘要和实体提取的AI/ML框架
- google/flan-t5-base --- 用于AI驱动威胁摘要的文本对文本生成模型
- dslim/bert-base-NER --- 用于自动IOC提取的命名实体识别
- certstream --- 证书透明度监控
- dnstwist --- 域名置换引擎
- Searx --- 尊重隐私的元搜索引擎
- PyMISP --- MISP 威胁情报平台集成
- TLSH --- 用于内容相似度检测的模糊哈希
- shadow-useragent --- 用户代理旋转库
- NLTK --- 文本处理自然语言工具包
应用预览
威胁检测
AI驱动的每周摘要与突发新闻
可疑域名检测
合法域名列表
数据泄漏检测
可疑域名监控
主题预览
Watcher 提供多种视觉主题,以匹配您的偏好和工作环境。
管理界面
Django 提供了一个即用的用户界面用于管理活动。我们都知道管理界面对Web项目的重要性:用户管理、用户组管理、Watcher配置、使用日志......
安装
用 Docker 在 10 分钟 内让 Watcher 上线。详细说明可在我们的安装指南中找到
平台架构
Watcher 的模块化架构确保了可扩展性、可靠性以及与现有安全栈的便捷集成。