Intel Owl

镜像概述和主要用途

IntelOwl 是一个开源的威胁情报管理解决方案，旨在大规模管理威胁情报数据。它能够集成多种在线分析器和先进的恶意软件分析工具，帮助用户通过单一 API 请求从多个来源同时获取关于恶意软件、IP 地址或域名的威胁情报数据。

核心功能和特性

主要功能

• 威胁情报数据丰富：支持文件及可观察对象（IP、域名、URL、哈希等）的威胁情报数据增强
• REST API 接口：基于 Django 和 Python 构建的完善 REST API
• 内置 GUI 界面：提供仪表板、分析数据可视化、分析请求表单等功能
• 与安全工具集成：可轻松集成到安全工具栈中，自动化 SOC 分析师通常手动执行的常见任务
• 模块化插件框架：
  • 分析器(analyzers)：从外部源检索数据或从内部工具生成情报
  • 连接器(connectors)：将数据导出到外部平台（如 MISP 或 OpenCTI）
  • 枢纽(pivots)：触发分析链的执行并将它们相互连接
  • 可视化器(visualizers)：在 GUI 中创建分析结果的自定义可视化
  • 摄取器(ingestors)：自动摄取可观察对象或文件流到 IntelOwl
  • 剧本(playbooks)：使分析流程易于重复执行
  • 数据模型：将从分析器提取的不同数据映射到单一通用模式
• 调查协作平台：用户可记录调查结果、关联发现的信息并进行协作

技术特点

• 可扩展性设计，支持横向扩展
• 加速威胁情报检索速度
• 支持多种官方客户端库（pyintelowl、go-intelowl）

使用场景和适用范围

• 安全运营中心(SOC)：自动化日常威胁分析任务
• 恶意软件分析：对可疑文件进行多维度分析
• 威胁情报收集：从多个来源聚合威胁情报
• 事件响应：加速安全事件的调查和响应过程
• 安全研究：恶意软件行为分析和特征提取

可用分析器

内置模块

• 静态文档分析：Office 文档、RTF、PDF、PE、ELF、APK 文件分析和元数据提取
• 字符串反混淆与分析：FLOSS、Stringsifter 等
• 恶意软件检测：Yara、ClamAV（支持自定义规则）
• PE 仿真：Qiling、Speakeasy
• PE 签名验证
• PE 功能提取：CAPA、Blint
• JavaScript 仿真：Box-js
• Android 恶意软件分析：Quark-Engine、Androguard、Mobsfscan 等
• SPF 和 DMARC 验证器
• PCAP 分析：Suricata、Hfinger
• 蜜罐客户端：Thug、Selenium
• 扫描器：WAD、Nuclei 等

外部服务

• Abuse.ch 服务：MalwareBazaar、URLhaus、Threatfox、YARAify
• GreyNoise v2
• Intezer
• VirusTotal v3
• Crowdsec
• URLscan
• Shodan
• AlienVault OTX
• Intelligence_X
• MISP
• 以及更多...

使用方法和配置说明

Docker 快速部署

# 拉取镜像
docker pull intelowlproject/intelowl

# 运行容器
docker run -d -p 8000:8000 --name intelowl intelowlproject/intelowl

Docker Compose 部署

创建 docker-compose.yml 文件：

version: '3'

services:
  intelowl:
    image: intelowlproject/intelowl
    ports:
      - "8000:8000"
    environment:
      - DEBUG=False
      - SECRET_KEY=your-secret-key
      - DATABASE_URL=postgres://user:password@db:5432/intelowl
    depends_on:
      - db
      - redis
    restart: unless-stopped

  db:
    image: postgres:13
    volumes:
      - postgres_data:/var/lib/postgresql/data/
    environment:
      - POSTGRES_USER=user
      - POSTGRES_PASSWORD=password
      - POSTGRES_DB=intelowl

  redis:
    image: redis:6
    volumes:
      - redis_data:/data

volumes:
  postgres_data:
  redis_data:

启动服务：

docker-compose up -d

环境变量配置

API 使用示例

提交文件分析请求：

curl -X POST http://localhost:8000/api/analyze/file \
  -H "Authorization: Token YOUR_API_TOKEN" \
  -H "Content-Type: multipart/form-data" \
  -F "file=@malicious_file.exe" \
  -F "analyzers=['VirusTotal_v3', 'Capa', 'FLOSS']"

提交 IP 分析请求：

curl -X POST http://localhost:8000/api/analyze/observable \
  -H "Authorization: Token YOUR_API_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{
    "observable_name": "192.168.1.1",
    "observable_type": "ip",
    "analyzers": ["AbuseIPDB", "GreyNoise", "Shodan"]
  }'

相关资源

• 官方网站：[***]
• 文档：[***]
• 演示实例：[***]
• GitHub 仓库：[***]
• Docker Hub：[***]

合作伙伴与赞助商

金牌赞助商

• Certego：意大利 MDR（托管检测与响应）和威胁情报提供商，IntelOwl 的诞生地
• The Honeynet Project：非营利组织，提供公共演示实例托管
• Google Summer of Code：支持学生参与项目开发

银牌赞助商

• ThreatHunter.ai：美国退伍军人创办的网络安全公司，专注于动态威胁狩猎

铜牌赞助商

• Docker：通过 Docker 开源计划提供支持
• DigitalOcean：通过 DigitalOcean 开源计划提供基础设施支持

维护团队

• Matteo Lodi：作者、顾问和管理员
• Daniele Rosetti：管理员和前端维护者
• Simone Berni：后端维护者
• Federico Gibertoni：维护者和社区助理
• Eshaan Bansal：核心贡献者