Ansichten:
Integrieren Sie den Inhalt des Threat Intelligence Feeds in OpenCTI mithilfe des Trusted Automated Exchange of Intelligence Information (TAXII) Connectors. Dieser Prozess verwendet die Programmierschnittstelle (API) des Threat Intelligence Feeds, die das TAXII 2.1 Protokoll unterstützt, um eine Verbindung zu OpenCTI herzustellen.

Prozedur

  1. Klonen Sie das TAXII2-Connector-Repository.
  2. Konfigurieren Sie allgemeine Umgebungsvariablen in docker-compose.yml.

    Allgemeine Einstellungen

    Umgebungsvariable
    Beschreibung
    Wert
    OPENCTI_URL
    Uniform Resource Locator (URL) Ihrer Ziel-OpenCTI-Instanz, an die der Connector Daten sendet
    OPENCTI_TOKEN
    API-Token zur Authentifizierung des Connectors mit OpenCTI
    CONNECTOR_ID
    Generieren Sie eine zufällige universell eindeutige Kennung (UUID), um diese Connector-Instanz zu identifizieren
    Eine zufällige UUID
    TAXII2_DISCOVERY_URL
    URL der TAXII 2.1 Threat-Intelligence-Feed-API
    Siehe die regionale TAXII-Feed-URL-Tabelle.
    TAXII2_ERSTE_VERLAUF
    Der Zeitraum in Stunden, um historische Daten vom TAXII2-Server abzurufen, wenn zum ersten Mal eine Verbindung hergestellt wird
    Standard: 24
  3. Wählen Sie entweder grundlegende Authentifizierung oder Bearer-Token-Authentifizierung und konfigurieren Sie die entsprechenden Variablen.

    Einfache Authentifizierung

    Umgebungsvariable
    Beschreibung
    Wert
    TAXII2_USERNAME
    Benutzername-Anmeldedaten zum Zugriff auf den TAXII-Server
    Unternehmens-ID
    TAXII2_PASSWORD
    Passwort-Anmeldedaten zum Zugriff auf den TAXII-Server
    Trend Vision One API-Token
    TAXII2_USE_TOKEN
    Wechseln Sie zur Token-Authentifizierungsmethode
    false oder leer
    TAXII2_USE_APIKEY
    Wechseln Sie zur Schlüssel/Wert-Authentifizierung
    false oder leer

    Authentifizierung mit Bearer-Token

    Umgebungsvariable
    Beschreibung
    Wert
    TAXII2_USE_APIKEY
    Wechseln Sie zur Verwendung eines Schlüssel/Wert-Paares als Authentifizierungsmethode
    true
    TAXII2_APIKEY_KEY
    API-Schlüssel - Name des HTTP-Headers
    Autorisierung
    TAXII2_APIKEY_WERT
    Der geheime Wert als Header-Wert festgelegt
    Trend Vision OneAPI-Token
  4. Um Markierungsdefinitionsobjekte während des Imports zu filtern, verwenden Sie die untenstehenden Umgebungsvariablen.
    • Setzen Sie TAXII2_IGNORE_OBJECT_TYPES auf true, um bestimmte Objekte auszuschließen.
    • Geben Sie TAXII2_OBJECT_TYPES_TO_IGNORE mit einer durch Kommas getrennten Liste von STIX-Objekttypen an, die ignoriert werden sollen.
    OpenCTI verwendet das Traffic Light Protocol (TLP), daher wird TLP wie erwartet angezeigt.
  5. Führen Sie den folgenden Befehl aus, um die abgerufenen Daten über den TAXII2-Connector in OpenCTI zu importieren.
    $ docker-compose up
  6. Überwachen Sie den Importstatus im OpenCTI-Webportal unter DatenIngestionConnectorsTAXII2.
  7. Um Daten aus dem durch TAXII2_INITIAL_HISTORY definierten Zeitraum erneut zu importieren, klicken Sie im OpenCTI-Portal auf Zurücksetzen.