人工智能驱动的自动化网络安全威胁检测平台

Watcher 是一个 Django 和 React JS 平台，旨在通过 AI 驱动的威胁情报分析发现和监控新兴的网络安全威胁。它可以部署在Web服务器上，也可以通过Docker快速运行。

观察者功能

Watcher 通过全面的威胁检测和监控赋能您的安全运营：

• AI驱动的威胁情报——通过自动每周摘要五大网络安全热门话题、实时突发新闻提醒、任何安全关键词的按需摘要（包括相关 CVE 和威胁行为者详情）将原始威胁数据转化为可作的情报。

• 新兴威胁检测——通过来自CERT-FR（www.cert.ssi.gouv.fr）、CERT-EU（www.cert.europa.eu）、US-CERT（www.us-cert.gov）、澳大利亚网络安全中心（www.cyber.gov.au）等RSS订阅来监测网络安全趋势。跟踪新漏洞、恶意软件活动和威胁警报。

• 合法域名管理——集中批准域名，包含到期、回购状态、注册商信息和联系方式。轻松将受监控的恶意域名转换为合法域名。

• 信息泄露监控——检测跨网络的敏感数据暴露，包括Pastebin、StackOverflow、GitHub、GitLab、Bitbucket、APKMirror、npm注册表及其他平台。及早发现泄露的凭证、API密钥和机密信息。

• 恶意域监控——监控恶意域名的IP地址、邮件/MX记录和网页内容的变化。使用 TLSH 模糊哈希来检测修改。自动与注册商进行RDAP/WHOIS查询及到期提醒。

• 可疑域名检测——通过以下方式识别针对您组织的潜在恶意域名：

  • 域生成算法检测 使用 dnstwist 检测错拼字抢注、同形攻击及类似领域变体
  • 通过certstream进行证书透明度监控，实时捕捉新注册的可疑域名

附加功能

通过强大的集成和管理工具扩展Watcher的功能：

• TheHive 全同步——与 TheHive 集成，具备自动警报生成、智能案件管理、IOC 丰富功能以及即用的 Cortex 分析器和响应器。详细配置见此处的文档。
• MISP集成——通过智能UUID跟踪、自动对象创建和手动属性更新，无缝将攻破指标（IOC）导出到MISP，实现协作威胁情报共享
• 灵活认证——支持 LDAP 和本地认证系统
• 智能通知——接收电子邮件、Slack或Citadel提醒，涵盖关键发现和阈值违规
• 工单系统集成——自动向工单系统提供安全发现
• 全面的管理界面——通过Django强大的管理面板管理Watcher的所有方面
• 高级访问控制——用于团队协作的细致用户权限和组管理
• 现代界面体验——现代界面，具备可自定义主题、可调整大小的仪表盘面板、高级过滤及保存的筛选集，以及持久的用户偏好

涉及的依赖关系

Watcher 利用开源工具和库：

• 拥抱面变形金刚——驱动威胁情报摘要和实体提取的AI/ML框架
• google/flan-t5-base — 用于AI驱动威胁摘要的文本对文本生成模型
• dslim/bert-base-NER — 用于自动IOC提取的命名实体识别
• certstream — 证书透明度监控
• dnstwist — 域名置换引擎
• Searx — 尊重隐私的元搜索引擎
• PyMISP — MISP 威胁情报平台集成
• TLSH — 用于内容相似度检测的模糊哈希
• shadow-useragent — 用户代理旋转库
• NLTK — 文本处理自然语言工具包

应用预览

威胁检测

AI驱动的每周摘要与突发新闻

可疑域名检测

合法域名列表

数据泄漏检测

可疑域名监控

主题预览

Watcher 提供多种视觉主题，以匹配您的偏好和工作环境。

管理界面

Django 提供了一个即用的用户界面用于管理活动。我们都知道管理界面对Web项目的重要性：用户管理、用户组管理、Watcher配置、使用日志......

安装

用 Docker 在 10 分钟内让 Watcher 上线。详细说明可在我们的安装指南中找到

平台架构

Watcher 的模块化架构确保了可扩展性、可靠性以及与现有安全栈的便捷集成。