ビュー:
信頼できるインテリジェンス情報交換 (TAXII) コネクタを使用して、OpenCTI にTrend Threat Intelligenceフィードコンテンツを統合します。このプロセスは、Trend Threat Intelligenceフィードアプリケーションプログラミングインターフェース (API) を使用し、TAXII 2.1プロトコルをサポートしてOpenCTIに接続します。

手順

  1. TAXII2コネクタリポジトリをクローンします。
  2. docker-compose.ymlで共通の環境変数を設定します。

    共通設定

    環境変数
    説明
    OPENCTI_URL
    コネクタがデータを送信する対象のOpenCTIインスタンスのURL
    OPENCTI_TOKEN
    OpenCTIとのコネクタ認証用APIトークン
    CONNECTOR_ID
    このコネクタインスタンスを識別するためにランダムなユニバーサルユニーク識別子 (UUID) を生成します
    ランダムUUID
    TAXII2_DISCOVERY_URL
    TAXII 2.1 脅威インテリジェンスフィードAPIのURL
    地域TAXIIフィードURL表を参照してください。
    TAXII2_INITIAL_HISTORY
    初回接続時にTAXII2サーバから履歴データを取得する時間枠 (時間単位)
    デフォルト: 24
  3. 基本認証またはベアラートークン認証のいずれかを選択し、対応する変数を設定してください。

    基本認証

    環境変数
    説明
    TAXII2_USERNAME
    TAXIIサーバにアクセスするためのユーザー名認証情報
    ビジネスID
    TAXII2_PASSWORD
    TAXIIサーバにアクセスするためのパスワード認証情報
    Trend Vision One API トークン
    TAXII2_USE_TOKEN
    トークン認証方式に切り替える
    false または空白
    TAXII2_USE_APIKEY
    キー/バリュー認証に切り替える
    false または空白

    ベアラートークン認証

    環境変数
    説明
    TAXII2_USE_APIKEY
    認証方法としてキー/バリューペアの使用に切り替える
    true
    TAXII2_APIKEY_KEY
    APIキー - HTTPヘッダーの名前
    認証
    TAXII2_APIKEY_VALUE
    ヘッダー値として設定されたシークレット値
    Trend Vision OneAPIトークン
  4. インポート中にマーキング定義オブジェクトをフィルタリングするには、以下の環境変数を使用してください。
    • 特定のオブジェクトを除外するには、TAXII2_IGNORE_OBJECT_TYPEStrueに設定します。
    • TAXII2_OBJECT_TYPES_TO_IGNOREに無視するSTIXオブジェクトタイプのカンマ区切りリストを指定してください。
    OpenCTIはTraffic Light Protocol (TLP)を使用しているため、TLPは期待通りに表示されます。
  5. TAXII2コネクタを通じて取得したデータをOpenCTIに取り込むために、次のコマンドを実行してください。
    $ docker-compose up
  6. OpenCTIウェブポータルの[データ][Ingestion][コネクタ][TAXII2]でインポートステータスをモニタします。
  7. TAXII2_INITIAL_HISTORYで定義された期間のデータを再インポートするには、OpenCTIポータルで[リセット]をクリックしてください。