Watcher es una plataforma automatizada de Django y React JS para descubrir nuevas amenazas de ciberseguridad potencialmente dirigidas a tu organización.
Debe utilizarse en servidores web y estar disponible en Docker.
Capacidades de Watcher
- Detección de tendencias de ciberseguridad emergentes como nuevas vulnerabilidades, malwares… A través de las redes sociales y otros canales RSS (www.cert.ssi.gouv.fr, www.cert.europa.eu, www.us-cert.gov, www.cyber.gov.au…).
- Vigilar las fugas de información, por ejemplo en Pastebin y otros sitios web de intercambio de contenidos informáticos (stackoverflow, github, gitlab, bitbucket, apkmirror, npm…).
- Supervisar los nombres de dominio maliciosos en busca de cambios (IPs, registros de correo/MX, páginas web utilizando TLSH).
- Detección de nombres de dominio sospechosos dirigidos a tu organización, utilizando:
- algoritmo dnstwist.
- Flujo de transparencia de certificados: certstream
Útil como un paquete que reagrupa las funciones automatizadas de caza/inteligencia de amenazas.
Características Adicionales
- Crear casos en TheHive y eventos en MISP.
- Exportación de IOCs integrados a TheHive y MISP.
- Autenticación LDAP y local.
- Notificaciones por correo electrónico.
- Retroalimentación del sistema de tickets.
- Interfaz de administración.
- Permisos de usuarios y grupos avanzados.
Dependencias Implicadas
Capturas de Pantalla
Watcher ofrece una potente interfaz de usuario para la visualización y el análisis de datos. Esta interfaz también se puede utilizar para gestionar el uso de Watcher y controlar su estado.
Detección de amenazas

Fugas de datos

Monitoreo de nombres de dominio maliciosos

Exportación de IOCs a TheHive y MISP

Detección de nombres de dominio sospechosos

Django proporciona una interfaz de usuario lista para usar para las actividades administrativas. Todos sabemos que una interfaz de administración es importante para un proyecto web: Gestión de usuarios, gestión de grupos de usuarios, configuración de Watchers, registros de uso…
Interfaz de administración

Instalación
Cree una nueva instancia de Watcher en diez minutos utilizando Docker (ver la guía de instalación).
docker-compose down
docker-compose run watcher bash
python manage.py migrate
Arquitectura de la Plataforma

Compatible con Pastebin
Para utilizar la función de la API de pastebin de Watcher, es necesario suscribirse a una cuenta de pastebin pro y poner en la lista blanca la IP pública de Watcher (ver https://pastebin.com/doc_scraping_api).
Watcher (este enlace se abre en una nueva ventana) por thalesgroup-cert (este enlace se abre en una nueva ventana)
Watcher – Open Source Cybersecurity Threat Hunting Platform. Developed with Django & React JS.