Real Intelligence Threat Analytics (RITA)

Real Intelligence Threat Analytics (RITA) é uma estrutura de código aberto para detectar comunicação de comando e controle por meio de análise de tráfego de rede. A estrutura RITA ingere logs Zeek em formato TSV ou JSON, ou PCAPs convertidos em logs Zeek para análise.

A nova versão utilizada ClickHouse como banco de dados o que aumenta a performance , e sua interface ficou muito mais agradavel usando o Bubble Tea

Características principais

  • Primeiro visto: exibe quando o host externo foi visto pela primeira vez na rede
  • Detecção de Beacon : Procure por sinais de comportamento de beacon dentro e fora da sua rede
  • Detecção de tunelamento DNS: identifique sinais de canais secretos baseados em DNS
  • Detecção de conexão longa: veja facilmente as conexões que se comunicaram por longos períodos de tempo
  • Verificação de feed de inteligência de ameaças: consulte feeds de inteligência de ameaças para procurar domínios e hosts suspeitos
  • Conexões pontuadas por gravidade: Crítica, Alta, Média, Baixa
  • Prevalência: exibe quantos de seus hosts internos estão se comunicando com um host externo específico

A instalação é muito simples

Em meu laboratorio eu fiz a instalação no Ubuntu 24.04.1 LTS

Consulte a ultima versão no https://github.com/activecm/rita/releases

wget https://github.com/activecm/rita/releases/download/v5.0.8/rita-v5.0.8.tar.gz
tar -xzvf rita-v5.0.8.tar.gz
cd rita-v5.0.8-installer/
./install_rita.sh 127.0.0.1

Importando logs do zeek

rita import --logs /opt/zeek/logs/2024-10-03 -d demohhlab

Consultando

rita list

Visualizando o resultado dos logs

rita view demohhlab

Referencias

RITAv5 – The Video Series – Active Countermeasures

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*