Ansichten:
Nachdem Sie TAXII für den Trend Threat Intelligence-Feed konfiguriert haben, können Sie den Inhalt des Trend Threat Intelligence-Feeds mithilfe des TAXII2-Konnektors in OpenCTI integrieren. Dieser Prozess verwendet die API des Trend Threat Intelligence-Feeds, die das TAXII 2.1 Protokoll unterstützt, um eine Verbindung zu OpenCTI herzustellen.

Prozedur

  1. Klonen Sie das TAXII2-Connector-Repository.
  2. Umgebungsvariablen in docker-compose.yml konfigurieren.
    Umgebungsvariable
    Beschreibung
    Wert
    OPENCTI_URL
    URL Ihrer Ziel-OpenCTI-Instanz, an die der Connector Daten sendet
    OPENCTI_TOKEN
    API-Token zur Authentifizierung des Connectors mit OpenCTI
    CONNECTOR_ID
    Generieren Sie eine zufällige UUID, um diese Connector-Instanz zu identifizieren
    Eine zufällige UUID
    TAXII2_DISCOVERY_URL
    URL der TAXII 2.1 Threat-Intelligence-Feed-API
    Siehe die regionale TAXII-Feed-URL-Tabelle.
    TAXII2_ERSTE_VERLAUF
    Erstes Zeitfenster für den Abruf historischer Daten in Stunden beim erstmaligen Start des Connectors
    Standard: 24
    TAXII2_USE_APIKEY
    Wechseln Sie von der Verwendung von Benutzername und Passwort zu einem Schlüssel/Wert-Paar als Authentifizierungsmethode
    true
    TAXII2_APIKEY_KEY
    API-Schlüssel - Name des HTTP-Headers
    Autorisierung
    TAXII2_APIKEY_WERT
    Der geheime Wert als Header-Wert festgelegt
    Ihr Trend Vision OneAPI-Token
  3. Um Markierungsdefinitionsobjekte während des Imports zu filtern, verwenden Sie die untenstehenden Umgebungsvariablen.
    • Setzen Sie TAXII2_IGNORE_OBJECT_TYPES auf true, um bestimmte Objekte auszuschließen.
    • Geben Sie TAXII2_OBJECT_TYPES_TO_IGNORE mit einer durch Kommas getrennten Liste von STIX-Objekttypen an, die ignoriert werden sollen.
    OpenCTI verwendet das Traffic Light Protocol (TLP), daher wird TLP wie erwartet angezeigt.
  4. Führen Sie den folgenden Befehl aus, um die abgerufenen Daten über den TAXII2-Connector in OpenCTI zu importieren.
    $ docker-compose up
  5. Überwachen Sie den Importstatus im OpenCTI-Webportal unter DatenIngestionConnectorsTAXII2.
  6. Um Daten aus dem durch TAXII2_INITIAL_HISTORY definierten Zeitraum erneut zu importieren, klicken Sie im OpenCTI-Portal auf Zurücksetzen.
Das folgende Beispiel zeigt ein Musterergebnis eines STIX-Imports.
{
    "id": "indicator--6d67c97d-34b4-4aac-89d9-84232fb38946",
    "type": "indicator",
    "spec_version": "2.1",
    "created_by_ref": "identity--74f7eb0f-1ca3-491a-b4cf-f4d54c83c87d",
    "created": "2024-06-28T03:09:12.806Z",
    "modified": "2024-11-11T07:59:53.564Z",
    "name": "File SHA1: f17d9b3cd2ba1dea125d2e1a4aeafc6d4d8f12dc",
    "lang": "en",
    "pattern": "[file:hashes.'SHA-1' = 'f17d9b3cd2ba1dea125d2e1a4aeafc6d4d8f12dc']",
    "pattern_type": "stix",
    "pattern_version": "2.1",
    "valid_from": "2024-11-11T07:59:53.017Z",
    "valid_until": "2025-11-11T07:59:53.017Z",
    "object_marking_refs": [
        "marking-definition--ce6a3a69-be72-4e80-bfc1-4c6b44f23651",  // Copyright
        "marking-definition--05972cd1-d8ed-42f3-b104-7770c3787929",  // Disclaimer
        "marking-definition--f88d31f6-486f-44da-b317-01333bde0b82"   // TLP:AMBER
    ]
}