BBOT 集成
编辑BBOT 集成
编辑Bighuge BLS OSINT 工具 (BBOT) 集成用于 BBOT 安装,这是一个攻击面管理 (ASM) 开源情报 (OSINT) 工具。
一旦 BBOT 扫描完成,该集成会将结果摄取到 Elastic 中。
此工具用于增强您对环境的外部知识。这是通过将许多工具集成到 BBOT 中,提供对您的攻击面的概述来完成的。这是 它的工作原理。
重要提示 - 您必须在 BBOT 扫描中提供以下参数,以使您的 output.ndjson 格式正确。
-c output_modules.json.siem_friendly=true
BBOT 扫描示例
bbot -t elastic.co --strict-scope -f safe passive -c output_modules.json.siem_friendly=true -om json
您必须在集成设置中配置输出文件的路径。一个常用且流行的路径可能是
BBOT 路径示例
/home/<user>/.bbot/scans/*/output.ndjson
BBOT 扫描 文档。
数据流
编辑此集成收集以下日志
- asm_intel 由 BBOT 扫描中发现的结果组成。
要求
编辑必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅 Elastic Agent 安装指南。
安装和管理 Elastic Agent
编辑有几种安装和管理 Elastic Agent 的选项
安装 Fleet 管理的 Elastic Agent(推荐)
编辑通过这种方法,您可以安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中央位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使代理的管理和升级更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑通过这种方法,您可以安装 Elastic Agent 并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅保留给高级用户使用。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立模式。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表中获得,并且我们为在 Kubernetes 上运行提供了部署清单。
请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅 Elastic Agent 最低要求。
在 Elastic 中启用集成
编辑- 在 Kibana 中,导航至 “管理”>“集成”。
- 在顶部的“搜索集成”栏中,搜索
BBOT。 - 从搜索结果中选择“BBOT”集成。
- 选择“添加 BBOT”以添加集成。
- 添加所有必需的集成配置参数,包括 ndjson 输出文件的路径。
- 保存集成。
日志
编辑ASM 发现
编辑示例
asm_intel 的示例事件如下所示
{
"@timestamp": "2024-02-29T01:41:47.779Z",
"agent": {
"ephemeral_id": "8ff8221f-4846-4f02-b12b-773332430bab",
"id": "bcb4b946-41b8-4916-9308-849b3bf23f46",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.12.2"
},
"bbot": {
"id": "DNS_NAME:f57ba0828becd7bf94faa616db081ed06f31bd3d",
"module": "TARGET",
"module_sequence": "TARGET",
"scan": "SCAN:725368977d3a680e579707504e59428a7e3acc9d",
"scope_distance": 0,
"source": "SCAN:725368977d3a680e579707504e59428a7e3acc9d",
"tags": [
"resolved",
"a-record",
"target",
"in-scope",
"subdomain"
],
"type": "DNS_NAME"
},
"data_stream": {
"dataset": "bbot.asm_intel",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "bcb4b946-41b8-4916-9308-849b3bf23f46",
"snapshot": false,
"version": "8.12.2"
},
"event": {
"agent_id_status": "verified",
"dataset": "bbot.asm_intel",
"ingested": "2024-04-22T19:10:49Z",
"kind": "asset"
},
"host": {
"name": "example.com"
},
"input": {
"type": "log"
},
"log": {
"file": {
"path": "/tmp/service_logs/log.log"
},
"offset": 398
},
"message": "{\"type\": \"DNS_NAME\", \"id\": \"DNS_NAME:f57ba0828becd7bf94faa616db081ed06f31bd3d\", \"data\": {\"DNS_NAME\": \"example.com\"}, \"scope_distance\": 0, \"scan\": \"SCAN:725368977d3a680e579707504e59428a7e3acc9d\", \"timestamp\": 1709170907.779394, \"resolved_hosts\": [\"123.123.123.123\"], \"source\": \"SCAN:725368977d3a680e579707504e59428a7e3acc9d\", \"tags\": [\"resolved\", \"a-record\", \"target\", \"in-scope\", \"subdomain\"], \"module\": \"TARGET\", \"module_sequence\": \"TARGET\"}",
"related": {
"hosts": [
"123.123.123.123"
]
},
"tags": [
"forwarded",
"bbot"
],
"url": {
"domain": [
"example.com"
]
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
bbot.data.asn.asn |
自治系统编号。 |
关键字 |
bbot.data.asn.country |
ASN 国家/地区。 |
关键字 |
bbot.data.asn.description |
asn 的描述。 |
关键字 |
bbot.data.asn.name |
为 asn 发现的名称。 |
关键字 |
bbot.data.asn.subnet |
为 asn 发现的子网。 |
关键字 |
bbot.data.azure_tenant.domains |
azure 租户的域。 |
关键字 |
bbot.data.azure_tenant.tenant-id |
azure 租户的 ID。 |
关键字 |
bbot.data.azure_tenant.tenant-names |
发现的 azure 租户的相关名称。 |
关键字 |
bbot.data.code_repository.url |
代码存储库的 URL。 |
关键字 |
bbot.data.dns_name |
找到的 DNS 名称。 |
关键字 |
bbot.data.email_address |
找到的电子邮件地址。 |
关键字 |
bbot.data.finding.description |
发现的描述。 |
关键字 |
bbot.data.finding.host |
发现发现的主机。 |
关键字 |
bbot.data.finding.url |
发现发现的 URL。 |
关键字 |
bbot.data.open_tcp_port |
发现的打开的 tcp 端口。 |
关键字 |
bbot.data.org_stub |
组织存根。 |
关键字 |
bbot.data.protocol.banner |
与横幅相关的发现。 |
关键字 |
bbot.data.protocol.host |
与协议相关的主机。 |
关键字 |
bbot.data.protocol.port |
协议的端口。 |
整数 |
bbot.data.protocol.protocol |
协议。 |
关键字 |
bbot.data.scan |
扫描的名称。 |
关键字 |
bbot.data.social.platform |
发现的社交平台。 |
关键字 |
bbot.data.social.profile_name |
社交平台用户名。 |
关键字 |
bbot.data.social.url |
社交发现的 URL。 |
关键字 |
bbot.data.storage_bucket.name |
存储桶的名称。 |
关键字 |
bbot.data.storage_bucket.url |
存储桶的 URL。 |
关键字 |
bbot.data.technology.host |
发现技术的主机。 |
关键字 |
bbot.data.technology.technology |
发现的技术。 |
关键字 |
bbot.data.technology.url |
发现的技术的 URL。 |
关键字 |
bbot.data.url |
数据发现的 URL。 |
关键字 |
bbot.data.vulnerability.description |
漏洞的描述。 |
关键字 |
bbot.data.vulnerability.host |
发现漏洞的主机。 |
关键字 |
bbot.data.vulnerability.url |
漏洞的 URL。 |
关键字 |
bbot.data.waf.host |
WAF 的主机。 |
关键字 |
bbot.data.waf.info |
WAF 信息。 |
关键字 |
bbot.data.waf.url |
WAF 的 URL。 |
关键字 |
bbot.data.waf.waf |
WAF 数据。 |
关键字 |
bbot.data.webscreenshot.filename |
网络屏幕截图文件的名称。 |
关键字 |
bbot.data.webscreenshot.url |
网络屏幕截图的 URL。 |
关键字 |
bbot.id |
每个发现的唯一 ID。 |
关键字 |
bbot.module |
发现发现的模块。 |
关键字 |
bbot.module_sequence |
发现发现的模块序列。 |
关键字 |
bbot.resolved_hosts |
每个发现发现的大量主机列表,此字段可以包含多个值。 |
关键字 |
bbot.scan |
扫描文档,此发现是其自己的文档,包含有关扫描的数据。 |
关键字 |
bbot.scope_distance |
扫描的范围距离。这是在 bbot 的运行时设置的。 |
整数 |
bbot.source |
关键字 |
|
bbot.tags |
关键字 |
|
bbot.timestamp |
日期 |
|
bbot.type |
关键字 |
|
bbot.web_spider_distance |
Web 爬虫为了发现发现而爬取的距离。 |
整数 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
关键字 |
log.offset |
日志偏移量。 |
长整型 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.1.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |