Watcher-数据泄露|威胁追踪|情报监控平台

Watcher-数据泄露|威胁追踪|情报监控平台

Watcher安装方法

先决条件

安装docker
安装docker-compose

启动Watcher

  • 抓住docker-compose.yml.env文件和SearxRss-bridge目录(保持目录结构)。
  • 根据您现有的基础结构,您可以使用该文件配置Watcher设置.env静态配置)。
  • docker-compose up

这应该运行Docker容器。

请等待,直到看到:

watcher          | db_watcher is up, starting Watcher.
watcher          | Performing system checks...
watcher          | 
watcher          | System check identified no issues (0 silenced).
watcher          | October 08, 2020 - 10:28:02
watcher          | Django version 3.1.1, using settings 'watcher.settings'
watcher          | Starting development server at http://0.0.0.0:9002/
watcher          | Quit the server with CONTROL-C.
  • http://0.0.0.0:9002http://你的服务器ip:9002上尝试使用Access Watcher。
  • CONTROL-C
  • docker-compose down 停止所有容器。

迁移

根据所有当前模型和迁移更新数据库状态。迁移及其与应用程序的关系…

docker-compose down
docker-compose run watcher bash
python manage.py migrate

创建管理员用户

您将需要创建第一个访问/admin页面的超级用户。

docker-compose down
docker-compose run watcher bash
python manage.py createsuperuser

填充数据库

用数百个与网络安全相关的违禁列表和RSS来源填充您的数据库。

使用populate_db脚本:

docker-compose down
docker-compose run watcher bash
python manage.py populate_db

配置文件

用户注册

要创建简单用户,职员用户或管理员用户:

连接到/admin页面:

  • 单击用户
  • 点击添加用户
  • 输入用户名密码,然后单击保存
  • 选择权限:
    • 主动→是默认选项,用户可以访问网站
    • 人员状态→指定用户是否可以登录此管理站点。
    • 超级用户状态→指定该用户具有所有权限,而无需显式分配它们。
  • 您可以输入用于电子邮件通知的电子邮件地址
  • 点击保存

添加电子邮件通知订阅者

订阅主题时接收电子邮件通知。

连接到/admin页面:

  • 单击订阅服务器
  • 点击添加用户
  • 选择用户,然后单击保存

将您的RSS源添加到威胁检测

如您所知,此功能允许使用社交网络和其他RSS来源(www.cert.ssi.gouv.fr,www.cert.europa.eu,www.us-cert.gov,www.cyber)检测新兴漏洞,恶意软件。 .gov.au…)。

Watcher当前提供数百个RSS网络安全源(填充默认RSS源)。

但是,您可以将RSS网络安全源添加到Watcher实例:

  • 首先,请确保您有一个指向RSS文件的URL(Atom 1.0,Atom 0.3,RSS 2.0,带有命名空间的RSS 2.0,RSS 1.0)。
  • 您的RSS文件必须由几篇文章组成。
  • 请更喜欢使用https而不是http。

连接到/admin页面:

  • 点击来源THREATS_WATCHER一部分。
  • 单击添加源
  • 填写网址文字输入。
  • 点击保存

静态配置

可以从/admin页面上修改大多数设置。

.env您可以配置文件中的其他设置:

生产设置[重要]

在生产中,请在文件中将DJANGO_DEBUG环境变量设置为False.env

DJANGO_DEBUG=False

另外,Django秘密密钥必须是一个较大的随机值,并且必须保密。默认情况下有一个,但可以考虑在.env文件中进行更改:

DJANGO_SECRET_KEY=[large random value]

.env文件中的时区设置:

# Time Zone
TZ=Europe/Paris

如果您修改了其中一些参数,请不要忘记重新启动所有容器:

docker-compose down
docker-compose up

在服务器实例中远程访问Watcher

如果访问Watcher Web界面时出现“错误请求”错误,请使用Watcher Server实例IP /或FQDN填充ALLOWED_HOST变量(在.env文件中)。

它限于单个IP地址/单个FQDN

请使用以下语法:

ALLOWED_HOST=X.X.X.X or ALLOWED_HOST=mywebsite.com

现在,您可以重新启动实例,并将考虑参数:

docker-compose down
docker-compose up

SMTP服务器设置(电子邮件通知)

.env文件中:

EMAIL_FROM=watcher@example.com
SMTP_SERVER=smtp.example.com

网站网址,它将是电子邮件通知正文中的链接:

WATCHER_URL=https://example.watcher.local

现在,您可以重新启动实例,并将考虑参数:

docker-compose down
docker-compose up

蜂巢设置

如果要使用TheHive导出,请填写TheHive实例的IP生成API密钥

.env文件中:

# THE HIVE SETUP
THE_HIVE_URL=
THE_HIVE_KEY=
THE_HIVE_CASE_ASSIGNEE=watcher

现在,您可以重新启动实例,并将考虑参数:

docker-compose down
docker-compose up

MISP设定

如果要使用MISP导出,请填写MISP实例的IPAPI密钥

.env文件中:

# MISP Setup
MISP_URL=
MISP_VERIFY_SSL=False
MISP_KEY=

现在,您可以重新启动实例,并将考虑参数:

docker-compose down
docker-compose up

LDAP设定

您可以在Watcher中配置LDAP身份验证:

.env文件中:

# LDAP Setup
AUTH_LDAP_SERVER_URI=
AUTH_LDAP_BIND_DN=
AUTH_LDAP_BIND_PASSWORD=
AUTH_LDAP_BASE_DN=
AUTH_LDAP_FILTER=(uid=%(user)s)

现在,您可以重新启动实例,并将考虑参数:

docker-compose down
docker-compose up

技巧和窍门

蜂巢和MISP导出

您可以将监视的DNS导出到TheHiveMISP

  • 转到/ website_monitoring页面。
  • 将新的DNS添加到受监视。
  • 点击蓝色的上传/云按钮
  • 选择您要使用的服务。

故障排除

如果导出未按预期工作,则可能与TheHive或MISP实例的版本有关。

实际上,如果您使用的TheHive / MISP实例已过时,则客户端API版本将与您的TheHive / MISP实例版本不对应:

  • 更新Thehive或MISP。

删除并添加到阻止列表

有一个阻止用户访问此列表的列表,以防止错误的流行趋势再次出现。

要添加1个单词:

  • 转到登录页面。
  • 进行身份验证,然后单击“删除和阻止列表按钮

要添加一些话:

  • 转到/admin页面。
  • 点击时髦的词
  • 选中您要删除的单词并屏蔽列表。
  • 单击操作下拉菜单。
  • 选择“删除并阻止所选流行词的列表”。

存档的警报

处理警报后,可以对其进行存档。

要归档1个警报:

  • 转到要存档的警报。
  • 选择“禁用按钮

要归档多个警报:

  • 转到/ admin页面。
  • 单击警报
  • 检查要存档的警报。
  • 单击操作下拉菜单。
  • 选择“禁用选定的警报”。

更新Watcher

要更新Watcher ,请按照以下说明进行操作:

  • 停止所有容器: docker-compose down
  • 删除旧的docker映像: docker rmi felix83000/watcher:latest searx/searx searx/searx-checker rssbridge/rss-bridge:latest
  • 拉出较新的docker映像: docker-compose up

这将更新Watcher,Rss-bridge和Searx。

删除数据库

在进行故障排除或其他操作时,您可能希望完全重置数据库。为此,您需要删除存储在主机系统中的数据库并重新启动实例:

docker-compose down
docker volume rm watcher-project_db_data
docker volume rm watcher-project_db_log

现在,您可以重建图像,并且将考虑参数:

docker-compose up

不要忘记迁移

有用的命令

如果要在后台运行它,请使用。docker-compose up -d

在Watcher容器上运行交互式Shell会话:

docker-compose run watcher bash 

项目地址:

https://felix83000.github.io/Watcher/