来源:https://makyotox.medium.com/patrowlhears-open-source-vulnerability-intelligence-center-a8577c462257
实时漏洞和威胁情报平台,非常强大。
访问https://github.com/Patrowl/PatrowlHears。
一、概览
Patrowl.io community提供可扩展的、免费的和开源的解决方案来协调安全操作和提供威胁情报。
二、漏洞和利用搜索引擎
PatrowlHears提供了一个安全漏洞、漏洞利用和威胁情报的统一来源。用户访问一个全面的和不断更新的漏洞数据库得分和丰富的利用和威胁新闻信息。这些元数据是从公共OSINT和私有feed中收集的。和今天一样,它是最扩展的数据库之一。
这个平台可以跟踪与您的资产相关的漏洞、安全公告、攻击、博客文章、会议幻灯片和视频、文章和威胁数据。所有的数据是交叉引用和收集从公共OSINT (NVD, PacketStorm, Tenable Nessus DB, Metasploit, Exploit-DB, Seebug, HackerOne, RubySec, Huntr, NPMJS, GHSA, Google Project Zero, ZDI, FriendsOfPHP, Github存储库,Twitter infosec feeds,…)
漏洞属性符合标准引用,包括CVE, CWE, CPE, CVSSv2/v3, Mitre att&ck技术,供应商公告和顾问,…
所有特性和相关数据都可以通过WEB UI或REST API获得。这使得与您的漏洞扫描器、CTI和SOC工具、CI/CD管道、合规和风险管理工具或自己的脚本易于集成。
三、主要特点
1、漏洞和元数据数据库:来自NVD的CVE/CPE/CWE定义,软件框架和包管理器上的无CVE漏洞(pip, rubygems, nuget, wordpress, npmjs, composer, maven,…),利用(PoC,脚本,详细的博客文章,论文,幻灯片,邮件,推特,演示视频,笔记,…),威胁新闻(文章,博客文章,推特,…)和供应商安全顾问
2、可以监视供应商、产品和漏洞。然后识别新数据或更改并向用户报告
3、协作:与团队共享监视列表、漏洞和元数据
4、基于调整CVSS的漏洞评分系统
5、告警:电子邮件和Slack通知,每日/每周/每月报告
6、响应式WEB + REST-API接口
四、OSINT提要
在今天,几个feed被持续跟踪:
NVD (CVE, CPE, CWE, CAPEC)
CIRCL (VIA4CVE)
主流咨询和攻击提供商:exploit - db, PacketStorm, SeeBug, Nessus KB, HackerOne reports, ZDI,谷歌Project Zero
Package vulnerability, advisory and exploit providers: Github Security Advisories (GHSA), GitLab Security Advisories (Gemnasium), RubySec, NPMJS Advisories, Mozilla Bugzilla, Huntr Project和FriendsOfPHP
Patrowl CERT团队半自动监控Github repos和gist, GitLab repos,推特,Reddit帖子,Pastebin和多个博客的安全团队
五、Exploits-oriented搜索引擎
因为PatrowlHears跟踪来自各种来源的攻击,我们很自豪地为安全团队(其中之一)提供最扩展的攻击引用数据库。
六、解决“脆弱性优先排序挑战”
安全团队有专门知识和技术能力来识别其资产上的漏洞。许多强大的漏洞管理工具,包括patrol,都提供了很大的帮助。
由于需要处理数百个严重或严重的漏洞,每日的安全报告就像一棵闪闪发光的圣诞树。我们已经知道,由于预算、人才短缺、时间等原因,没有办法解决所有问题。优先次序是有效的威胁管理过程的基石。它需要一个简单和更新的曝光和上下文情报的途径来回答这些分类问题:
1、这个漏洞有可靠的漏洞利用吗?已经有商标名称网站申请专利了吗?
2、是否有任何可能的催化剂:在野外开发?媒体hypeness吗?被相关威胁行为者利用?
3、有任何已知/可靠的修复或补偿措施吗?
4、这个漏洞可以从互联网上利用吗?
5、我们是脆弱的还是已经被攻击了?
6、脆弱资产的风险水平如何?
PatrowlHears的理念是提供一个持续更新的漏洞度量数据库,以帮助SOC、DevOps、NetOps、开发人员和IT风险管理团队对相关威胁发出警报并做出决策。
七、基于风险的得分
在安全事件响应和漏洞管理方面,确定优先次序是提高效率和继续提供最高质量和相关服务的基本成功因素。
我们的评分算法不是AI驱动的,也不依赖于机器学习技巧。它基于内在漏洞特征(影响/暴露)的相关度量,威胁局部性和您的资产上下文作为暴露、分布和重要性。是的,它主要基于CVSS度量,但使用清洁,可信,更新和上下文化的数据。这才是关键。
八、安装和更新
PatrowlHears可以使用所提供的Docker映像、Ansible脚本或使用逐步指导方针的源进行部署。我们推荐最后一个仅适用于开发人员。漏洞和元数据在PatrowlHearsData项目中进行管理。您可以自己更新原始数据,也可以定期提取存储库更新(每周一次)。
托管您自己的漏洞监控系统提供了各种好处:
1、为所有IT和业务部门提供一个内部平台。与受限用户和合作伙伴共享私有漏洞和注意事项
2、不要与不可信的第三方共享资产清单和漏洞
3、轻松连接到您的内部IT生态系统和潜在的间隔网络
九、rest api集成
PatrowlHears提供了一个扩展的、相关的和丰富的漏洞知识库。可以使用REST-API查询所有数据。例如:
1、列出被监视的供应商或产品的新的漏洞更改
2、获取一个漏洞的所有元数据(CVE、CPE、CWE、公告、补丁、漏洞利用、威胁新闻、度量……)
3、列出与供应商、产品或产品版本相关的所有漏洞
4、创建/更新/删除/列出与漏洞相关的漏洞
5、列出与漏洞相关的Mitre ATT&CK技术
6、参见OpenAPI扩展描述(JSON和YAML)。
十、发布工具
PatrowlHears:包含Python/Django后端和Vue.JS前端应用以及Ansible/Docker部署脚本的主存储库。
PatrowlHearsData:包含数据收集脚本,收集CVE, CPE, CWE和利用引用(参见CVE- search / VIA4CVE项目)+原始数据作为JSON文件。数据每周更新。
PatrowlHears4py: PatrowlHears API的Python库和CLI。