intelowlproject/intelowl Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
intelowlproject/intelowlintelowlproject
IntelOwl:大规模管理威胁情报
13 次收藏下载次数: 0状态:社区镜像维护者:intelowlproject仓库类型:镜像最近更新:25 天前
IntelOwl Docker镜像文档
镜像概述和主要用途
IntelOwl是一个开源威胁情报管理解决方案,旨在大规模收集、分析和管理威胁情报数据。该Docker镜像提供了一个便捷的部署方式,使安全分析师能够通过单一API请求从多个来源获取关于***软件、IP地址或域名的威胁情报数据。
IntelOwl集成了多种在线分析工具和先进的***软件分析工具,为安全团队提供集中化的威胁情报分析平台,可显著提高安全事件响应效率和威胁检测能力。
核心功能和特性
主要功能
- 威胁情报富集:支持文件和可观察对象(IP、域名、URL、哈希等)的情报富集
- REST API:基于Django和Python构建的完整REST API接口
- 易于集成:可轻松集成到现有安全工具栈中,自动化SOC分析师的常见工作
- 内置GUI:提供仪表板、分析数据可视化、便捷的分析请求表单等功能
- 模块化插件框架:
- 分析器(analyzers):从外部来源获取数据或使用内部工具生成情报
- 连接器(connectors):将数据导出到外部平台
- 枢纽(pivots):触发分析链的执行并将其相互连接
- 可视化器(visualizers):在GUI中创建分析结果的自定义可视化
- 摄入器(ingestors):自动摄入可观察对象或文件流
- 剧本(playbooks):使分析易于重复执行
- 数据模型:将从分析器提取的不同数据映射到单一通用模式
- 调查起点:用户可以记录调查结果、关联发现的信息并进行协作
技术特点
- 可扩展性:专为横向扩展设计,可根据需求增加分析能力
- 高效性:加速威胁情报检索过程,提高分析效率
- 灵活性:支持自定义规则和分析器集成
- 安全性:遵循安全最佳实践,定期更新和安全审查
使用场景和适用范围
IntelOwl适用于以下场景和用户群体:
主要使用场景
- ***软件分析:自动化分析可疑文件,提取IOCs和行为特征
- 威胁狩猎:主动搜索和识别潜在威胁
- 事件响应:加速安全事件的调查和响应过程
- 威胁情报管理:集中管理和整合来自多个来源的威胁情报
- 安全运营中心(SOC):作为SOC的核心威胁情报平台
适用用户群体
- 安全分析师:提高日常分析工作效率
- 安全研究人员:快速获取和验证威胁情报
- 企业安全团队:构建内部威胁情报能力
- 学术机构:***软件和网络安全研究
- ***机构:网络安全防御和响应
详细的使用方法和配置说明
Docker部署方案
使用docker run部署
bash# 拉取镜像 docker pull intelowlproject/intelowl # 运行容器 docker run -d \ --name intelowl \ -p 80:80 \ -p 443:443 \ -v intelowl_data:/app/data \ -e DJANGO_SECRET_KEY="your_secret_key" \ -e POSTGRES_PASSWORD="your_db_password" \ intelowlproject/intelowl
使用docker-compose部署
创建docker-compose.yml文件:
yamlversion: '3' services: web: image: intelowlproject/intelowl ports: - "80:80" - "443:443" volumes: - intelowl_data:/app/data environment: - DJANGO_SECRET_KEY=your_secret_key - POSTGRES_PASSWORD=your_db_password - POSTGRES_USER=intelowl - POSTGRES_DB=intelowl_db - POSTGRES_HOST=db depends_on: - db - redis db: image: postgres:13 volumes: - postgres_data:/var/lib/postgresql/data/ environment: - POSTGRES_PASSWORD=your_db_password - POSTGRES_USER=intelowl - POSTGRES_DB=intelowl_db redis: image: redis:6 volumes: - redis_data:/data volumes: intelowl_data: postgres_data: redis_data:
启动服务:
bashdocker-compose up -d
配置参数和环境变量
核心环境变量
| 环境变量 | 描述 | 默认值 |
|---|---|---|
DJANGO_SECRET_KEY | Django应用的密钥,用于加密敏感数据 | 无,必须设置 |
DEBUG | 是否启用调试模式 | False |
ALLOWED_HOSTS | 允许访问的主机列表 | * |
POSTGRES_HOST | PostgreSQL数据库主机 | db |
POSTGRES_PORT | PostgreSQL数据库端口 | 5432 |
POSTGRES_USER | PostgreSQL数据库用户 | intelowl |
POSTGRES_PASSWORD | PostgreSQL数据库密码 | 无,必须设置 |
POSTGRES_DB | PostgreSQL数据库名称 | intelowl_db |
REDIS_HOST | Redis主机 | redis |
REDIS_PORT | Redis端口 | 6379 |
分析器配置
IntelOwl支持多种分析器,每个分析器可能需要特定的API密钥或配置。这些配置可以通过环境变量或配置文件进行设置,例如:
| 环境变量 | 描述 |
|---|---|
VT_API_KEY | VirusTotal API密钥 |
SHODAN_API_KEY | Shodan API密钥 |
ABUSECH_API_KEY | Abuse.ch API密钥 |
MISP_URL | MISP服务器URL |
MISP_API_KEY | MISP API密钥 |
可用分析器类型
内置模块分析器
- 静态Office文档、RTF、PDF、PE、ELF、APK文件分析和元数据提取
- 字符串反混淆和分析(FLOSS、Stringsifter等)
- Yara、ClamAV***软件扫描(支持自定义规则)
- 使用Qiling和Speakeasy进行PE仿真
- PE签名验证
- PE能力提取(CAPA和Blint)
- Javascript仿真(Box-js)
- Android***软件分析(Quark-Engine、Androguard、Mobsf等)
- SPF和DMARC验证器
- PCAP分析(Suricata和Hfinger)
- Honeyclients(Thug、Selenium)
- 扫描器(WAD、Nuclei等)
外部服务分析器
- Abuse.ch (MalwareBazaar、URLhaus、Threatfox、YARAify)
- GreyNoise v2
- Intezer
- VirusTotal v3
- Crowdsec
- URLscan
- Shodan
- AlienVault OTX
- Intelligence_X
- MISP
- 以及更多第三方威胁情报服务
相关资源
- 官方文档:[***]
- GitHub仓库:[***]
- 官方网站:[***]
- 在线演示:[***]
- Python客户端库:pyintelowl
- Go客户端库:go-intelowl
维护者信息
- Matteo Lodi:作者、顾问和管理员
- Daniele Rosetti:管理员和前端维护者
- Simone Berni:后端维护者
- Federico Gibertoni:维护者和社区助理
- Eshaan Bansal:主要贡献者
intelowlproject/intelowl_nginx
intelowlproject
IntelOwl Nginx custom build
5万+ 次下载
25 天前更新
intelowlproject/intelowl_pcap_analyzers
intelowlproject
Intel Owl是一个开源威胁情报管理解决方案,集成多种在线分析器和恶意软件分析工具,通过单一API请求从多源获取威胁情报,支持文件及可观察对象(IP、域名等)的情报丰富,提供REST API和内置GUI,适用于安全自动化和SOC分析。
1万+ 次下载
25 天前更新
intelowlproject/intelowl_malware_tools_analyzers
intelowlproject
IntelOwl集成Capa、Floss、Qiling等恶意软件分析工具的Docker镜像,用于恶意软件分析。
1万+ 次下载
25 天前更新
intelowlproject/intelowl_phishing_analyzers
intelowlproject
IntelOwl是一个开源威胁情报管理解决方案,集成多种分析器,支持文件及IP、域名、URL等可观察对象的威胁情报丰富,提供REST API和GUI,加速威胁情报检索与自动化分析。
1万+ 次下载
25 天前更新
intelowlproject/greedybear
intelowlproject
GreedyBear是一个威胁情报平台,从T-POT蜜罐或其集群中提取攻击检测数据,生成可用于预防和检测攻击的威胁情报feeds,并提供可查询的API服务以获取 observables(域名或IP地址)信息。
1万+ 次下载
25 天前更新
intelowlproject/greedybear_nginx
intelowlproject
GreedyBear是一个威胁情报平台,从T-POT或其集群提取攻击数据,生成可用于防御和检测攻击的威胁情报feed,并提供查询可观测对象(域名或IP地址)信息的API服务。
1万+ 次下载
25 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"