Real Intelligence Threat Analytics (RITA) é uma estrutura de código aberto para detectar comunicação de comando e controle por meio de análise de tráfego de rede. A estrutura RITA ingere logs Zeek em formato TSV ou JSON, ou PCAPs convertidos em logs Zeek para análise.
A nova versão utilizada ClickHouse como banco de dados o que aumenta a performance , e sua interface ficou muito mais agradavel usando o Bubble Tea
Características principais
- Primeiro visto: exibe quando o host externo foi visto pela primeira vez na rede
- Detecção de Beacon : Procure por sinais de comportamento de beacon dentro e fora da sua rede
- Detecção de tunelamento DNS: identifique sinais de canais secretos baseados em DNS
- Detecção de conexão longa: veja facilmente as conexões que se comunicaram por longos períodos de tempo
- Verificação de feed de inteligência de ameaças: consulte feeds de inteligência de ameaças para procurar domínios e hosts suspeitos
- Conexões pontuadas por gravidade: Crítica, Alta, Média, Baixa
- Prevalência: exibe quantos de seus hosts internos estão se comunicando com um host externo específico
A instalação é muito simples
Em meu laboratorio eu fiz a instalação no Ubuntu 24.04.1 LTS
Consulte a ultima versão no https://github.com/activecm/rita/releases
wget https://github.com/activecm/rita/releases/download/v5.0.8/rita-v5.0.8.tar.gz
tar -xzvf rita-v5.0.8.tar.gz
cd rita-v5.0.8-installer/
./install_rita.sh 127.0.0.1
Importando logs do zeek
rita import --logs /opt/zeek/logs/2024-10-03 -d demohhlab
Consultando
rita list
Visualizando o resultado dos logs
rita view demohhlab
Seja o primeiro a comentar