关于minemeld的第一篇中文技术文档

闲来无事用google中文搜索了一下minemeld, 只查找到了4页相关内容,其中有部分还是日文,还剩下的一些也只是Palo Alto的一些介绍文档的中文稿。再用百度试了一下,差不多的结果。
不禁惊愕!整个中文搜索竟然找不到一篇关于minemeld的技术类文档。(看来网络闭关锁国果然是很有成效啊!难道真的已经是10后不知google为何物了吗?)虽然minemeld只是Palo Alto的一个免费项目,但是对于从事信息安全行业的人来看,这个产品还是值得关注一下的,毕竟这是一款几乎整合了所有互联网安全厂商所发布的黑名单全集,并且还可以根据自己的需要不断地进行扩充和添加。
Palo Alto官网上关于minemeld介绍首页:https://www.paloaltonetworks.com/products/secure-the-network/subscriptions/minemeld
下载安装页面:https://live.paloaltonetworks.com/t5/MineMeld/ct-p/MineMeld

从文档中可以看出目前Minemeld支持四种安装类型,分别是:VMWare Desktop, Microsoft Azure, Amazon EC2和Ubuntu Server 14.04
这里我要介绍的是基于VMWare Desktop的安装, 其实也是基于Ubuntu操作系统的,只不过是跑在了虚机上而已。并且选择VMWare主要原因是可以快速在本地搭建起平台,方便进行测试。
安装步骤其实还是挺简单的,我在这里就不具体翻译了。主要几步就是先下载Ubuntu的介质:“https://cloud-images.ubuntu.com/trusty/current/trusty-server-cloudimg-amd64.ova”
再下载MineMeld的介质:“https://s3-eu-west-1.amazonaws.com/minemeld-dist/0_9/minemeld-cloud-init-0.9.10-1build1.iso”
把Ubuntu的OVA镜像导入到VMWare中,并且在虚机的CDROM设置中把MineMeld的安装介质给关联上,然后启动虚机就可以了。启动虚机以后系统会自动安装MineMeld,安装完毕后会启动一个Web服务,可以通过127.0.0.1或本机的IP地址直接访问,Web页面的默认用户名是admin,密码是minemeld。 Ubuntu的系统默认用户是ubuntu,密码是rsplizardspock, 可以通过“sudo su -”命令切换到root用户。
Web页面登陆

操作系统登陆

初始页面登陆进去后是DASHBOARD,默认配置了4个数据源,1个加工脚本,3个输出文件。

如果只想简单用一下可以不用配置任何东西,就用默认的设置也可以。但是点击“Config”菜单,点击右下角的”show prototypes”,下拉菜单选“Show All entries”。总共有218个项,并且还会随着时间不断的增加。可以点击每一项去看详细内容。有些数据源不是免费的需要你有一个key才能调用,而获得key的前提是要成为付费会员。

所以在这里就对所有不能直接使用的数据源就全部过滤掉了,只保留那些可以免费直接调用的数据源。具体如何设置可以参看这位意大利哥们的文章,我的设置就是参考借鉴了他的方法进行的。
https://scubarda.com/2017/07/28/minemeld-threat-intelligence-automation-architecture-and-hardening/
还有一篇是讲怎么设置office365的,北美office365已经非常普遍了,所以设置完以后可以作为白名单进行调用。
How to Safely Enable access to Office 365 using MineMeld

这里我直接给出配置完后的成果,使用命令
$ sudo service minemeld stop
$ tar -cvzf backup.tar.gz /opt/minemeld/local/config/ /opt/minemeld/local/prototypes/
直接将配置导出成backup.tar.gz文件。
各位只需要下载backuop.tar.gz文件,再使用下面的命令将配置导入到新部署的minemeld系统中就可以了。
$ sudo service minemeld stop
$ sudo -g minemeld -u minemeld tar -C / -xvzf backup.tar.gz
$ sudo service minemeld start

有一点需要提醒的就是,数据源Miner中有一个属性是confidence,以blocklist_de.all为例参见下图,这个值只有50,但是在我参考上面意大利那位的文档时,PROCESS的设置是要求Confidence为大于75的,所以我在克隆原型为本地数据源时修改了Confidence提高到了80。因此大家在使用中需要注意这一点。也就是意味着有些IP虽然被列入到了黑名单中,但是原厂商给出了只有50的可信度,但我这里提高到了80,也就是说有被误报的可能性。

完成后的minemeld看上去应该是这个样子的。

点击NODES菜单:

一共有6个输出文件,OUTPUT-DOMAIN是域名黑名单,OUTPUT-IP是IP黑名单,OUTPUT-URL是链接黑名单。3个office365文件是作为白名单来使用的。
点击OUTPUT-IP,看到是如下图所示,点击其中的链接

看到的是IP Address RANGE的方式,但是有些系统并不支持这种方式的输入,例如Cisco Firepower Security Intelligence中设置Feed,只接受CIDR模式也就是IP/Subnet masks模式。
那么修改一下URL为: https://192.168.0.191/feeds/OUTPUT-IP?tr=1

这个工具的优势就是能够动态的跟踪你所配置进去的那些数据源,并根据需要输出相应的内容。下一代防火墙或者下一代IPS都具有了Security Intelligent的功能,那么将IP,Domain和URL的黑名单配置进去后就能直接将这些不管是出站还是入站的访问全部BLOCK掉。当然你还需要根据自己的业务情况设置一下白名单,例如,如果有使用Officers365的,那么就需要将Officd365相关的IP,Domain,URL配置到白名单中,避免被误报阻断后影响业务。

Leave a Reply