La finalidad de esta herramienta consiste en generar información de inteligencia que pueda ser aprovechada por otros sistemas, tales como IDS y Firewalls inteligentes.En su modo habitual permite detectar conexiones a sistemas maliciosos empleando para ello diversas listas de reputación configurables por el usuario. (Si incluye entre otras, el servicio Online AntiBotnet de INCIBE)
La información obtenida por el programa se exporta como Indicador de Compromiso (IOC) en dos formatos: OpenIOC y Cybox.
El programa tiene dos modos de funcionamiento, el primero de ellos consiste en analizar las conexiones establecidas por los procesos y generar los IOCs pertinentes. El segundo modo consiste en la escucha pasiva del tráfico de red, en donde se reconstruyen los flujos de comunicación, se detectan los end-points y se analizan con las bases de datos de reputación.
De sistema, en los sistemas Debian/Ubuntu se resuelven ejecutando el siguiente comando:
apt-get install zlib1g-dev libxslt-dev libxml2 libxml2-dev tshark
De Python, se resuelven ejecutando el siguiente comando:
pip install -r dependencies.txt
usage: watsondt.py [-h] [-c] [-p {openioc,cybox}] [-a] [-l LIVE_CAPTURE] [-i]
[-v]
Watson Detection Tool
optional arguments:
-h, --help show this help message and exit
-c, --show-conn Muestra SOLO procesos con conexiones
-p {openioc,cybox}, --generate-profile {openioc,cybox}
Genera un IOC en formato especificado.
-a, --all-conn Muestra todas las conexiones
-l LIVE_CAPTURE, --live-capture LIVE_CAPTURE
Captura el trafico de una interfaz de red en tiempo
real.
-i, --incibe Comprueba que la IP de origen no esté presente en el
servicio AntiBotnet de INCIBE.
-v, --version Muestra la version del programa
Luis González Fernández