Yeti实体关系图构建指南如何可视化威胁活动与攻击者关联【免费下载链接】yetiYour Everyday Threat Intelligence项目地址: https://gitcode.com/gh_mirrors/ye/yetiYeti威胁情报平台为网络安全分析师提供了一个强大的实体关系图构建工具帮助您直观地追踪威胁活动、分析攻击者关联、揭示复杂的网络攻击链。本指南将向您展示如何利用Yeti的可视化功能快速构建专业的威胁情报关系网络。 为什么需要威胁情报实体关系图在网络安全分析中孤立的数据点往往难以揭示完整的攻击图景。通过Yeti实体关系图您可以关联分析将攻击者、恶意软件、入侵集、漏洞等实体连接起来可视化追踪直观展示威胁活动的时间线和传播路径深度调查发现隐藏的攻击模式和关联关系团队协作共享威胁情报提高响应效率Yeti支持多种实体类型包括攻击者Threat Actor、恶意软件Malware、入侵集Intrusion Set、漏洞Vulnerability、工具Tool等这些实体都可以通过关系连接形成完整的威胁图谱。 Yeti实体关系图的核心组件实体类型系统Yeti的实体系统位于core/schemas/entities/目录支持多种威胁情报实体攻击者实体threat_actor.py- 代表威胁行为者恶意软件实体malware.py- 恶意软件家族和变种入侵集实体intrusion_set.py- 有组织的攻击团体漏洞实体vulnerability.py- 安全漏洞信息工具实体tool.py- 攻击者使用的工具关系模型关系系统定义在core/schemas/graph.py中支持Relationship基础关系模型连接任意两个实体RoleRelationship权限控制关系GraphFilter图形查询过滤器️ 实战构建您的第一个威胁关系图步骤1创建实体首先您需要创建相关的威胁实体。例如创建一个攻击者实体# 创建攻击者实体 threat_actor entity.save( nameAPT29, typethreat-actor, aliases[Cozy Bear, The Dukes], descriptionRussian state-sponsored threat actor )步骤2建立实体关系使用Yeti的图形API建立实体之间的关联# 建立攻击者与恶意软件的关联 malware entity.save( nameCobalt Strike, typemalware, familyCobalt Strike, descriptionCommercial penetration testing tool abused by threat actors ) # 创建关系攻击者使用恶意软件 relationship threat_actor.link_to( malware, relationship_typeuses, descriptionAPT29 frequently uses Cobalt Strike for post-exploitation )步骤3查询关系网络通过图形API查询实体关联# 查询攻击者的所有关联实体 vertices, paths, total threat_actor.neighbors( link_types[uses, targets, employs], target_types[malware, tool, vulnerability], directionoutbound, min_hops1, max_hops3 ) 高级关系图构建技巧1. 多跳关系查询Yeti支持复杂的关系路径查询让您发现间接关联# 查找3跳内的所有关联实体 vertices, paths, total entity.neighbors( min_hops1, max_hops3, directionany )2. 类型过滤查询只查询特定类型的实体关联# 仅查询与恶意软件相关的关联 vertices, paths, total threat_actor.neighbors( target_types[malware], link_types[uses, distributes] )3. 关系方向控制灵活控制查询方向outbound从当前实体出发的关系inbound指向当前实体的关系any双向关系 可视化分析实战案例案例追踪勒索软件攻击链假设您正在调查一起勒索软件攻击可以这样构建关系图创建勒索软件实体ransomware entity.save( nameConti, typemalware, familyConti, descriptionRansomware-as-a-Service operation )关联攻击者# 关联已知的Conti运营者 conti_actor entity.save( nameWizard Spider, typethreat-actor, aliases[Gold Blackburn], descriptionRussian-speaking cybercrime group ) conti_actor.link_to(ransomware, operates, Primary operator of Conti ransomware)关联攻击基础设施# 关联C2服务器 c2_server observable.save( valuemalicious-domain.com, typehostname, tags[c2, conti] ) ransomware.link_to(c2_server, communicates-with, C2 infrastructure)关联攻击手法# 关联使用的漏洞 vulnerability entity.save( nameCVE-2021-34527, typevulnerability, descriptionPrintNightmare vulnerability ) ransomware.link_to(vulnerability, exploits, Used for initial access) 关系图的最佳实践1. 标准化关系类型建议使用以下标准关系类型uses攻击者使用工具/恶意软件targets攻击特定目标employs使用特定TTPexploits利用漏洞communicates-with与基础设施通信belongs-to属于某个组织2. 丰富的关系描述为每个关系提供详细的描述relationship source.link_to( target, relationship_typeuses, descriptionFirst observed use in Operation XYZ on 2023-05-15, used for lateral movement via SMB )3. 定期更新关系威胁情报是动态的定期更新实体关系添加新的关联证据标记过时的关系记录关系的时间线 API接口使用指南Yeti提供了完整的图形API接口位于core/web/apiv2/graph.py主要端点POST /graph/search- 搜索实体关系POST /graph/add- 添加新关系PATCH /graph/{id}- 修改关系POST /graph/match- 匹配可观察项请求示例{ source: threat-actor/apt29, target: malware/cobaltstrike, link_type: uses, description: APT29使用Cobalt Strike进行命令与控制 } 快速开始建议新手入门路径从简单开始先创建少量实体和关系使用模板参考现有的威胁情报报告逐步扩展随着调查深入添加更多关联团队协作共享和验证关系数据推荐的学习资源实体定义core/schemas/entities/关系模型core/schemas/graph.pyAPI接口core/web/apiv2/graph.py实战示例tests/apiv2/graph.py 总结Yeti的实体关系图功能为网络安全分析师提供了一个强大的可视化工具帮助您✅快速构建威胁情报关系网络✅深度分析攻击者关联和攻击链✅团队协作共享调查结果✅自动化查询通过API接口通过本指南您已经掌握了Yeti实体关系图的基本构建方法。现在就开始创建您的第一个威胁情报关系图让复杂的网络攻击模式一目了然提示关系图的价值在于持续维护和更新。随着新威胁情报的获取不断丰富您的实体关系网络构建一个动态、准确的威胁情报知识库。记住好的威胁情报关系图不仅是数据展示更是分析思路的体现。通过Yeti的强大功能您可以将碎片化的威胁信息转化为有价值的战略洞察。【免费下载链接】yetiYour Everyday Threat Intelligence项目地址: https://gitcode.com/gh_mirrors/ye/yeti创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考