Trend Threat IntelligenceフィードのためにTAXIIを設定した後、TAXII2コネクタを使用してTrend Threat IntelligenceフィードのコンテンツをOpenCTIに統合できます。このプロセスでは、Trend Threat IntelligenceフィードAPIを使用してTAXII 2.1プロトコルをサポートし、OpenCTIに接続します。
手順
- TAXII2コネクタリポジトリをクローンします。
docker-compose.ymlで環境変数を設定します。環境変数説明値OPENCTI_URLコネクタがデータを送信するターゲットOpenCTIインスタンスのURLOPENCTI_TOKENOpenCTIとのコネクタ認証用APIトークンCONNECTOR_IDこのコネクタインスタンスを識別するためにランダムなUUIDを生成しますランダムUUIDTAXII2_DISCOVERY_URLTAXII 2.1 脅威インテリジェンスフィードAPIのURL地域TAXIIフィードURL表を参照してください。TAXII2_INITIAL_HISTORYコネクタを初めて起動する際の初期履歴データ取得ウィンドウ (時間単位)デフォルト: 24TAXII2_USE_APIKEYユーザー名とパスワードの使用からキー/値ペアを認証方法として使用するように切り替えるtrueTAXII2_APIKEY_KEYAPIキー - HTTPヘッダーの名前認証TAXII2_APIKEY_VALUEヘッダー値として設定されたシークレット値あなたのTrend Vision OneAPIトークン- インポート中にマーキング定義オブジェクトをフィルタリングするには、以下の環境変数を使用してください。
-
特定のオブジェクトを除外するには、
TAXII2_IGNORE_OBJECT_TYPESをtrueに設定します。 -
TAXII2_OBJECT_TYPES_TO_IGNOREに無視するSTIXオブジェクトタイプのカンマ区切りリストを指定してください。
OpenCTIはTraffic Light Protocol (TLP)を使用しているため、TLPは期待通りに表示されます。 -
- TAXII2コネクタを通じて取得したデータをOpenCTIに取り込むために、次のコマンドを実行してください。
$ docker-compose up - OpenCTIウェブポータルのでインポートステータスをモニタします。
TAXII2_INITIAL_HISTORYで定義された期間のデータを再インポートするには、OpenCTIポータルで[リセット]をクリックしてください。
次の例は、STIXインポートのサンプル結果を示しています。
{
"id": "indicator--6d67c97d-34b4-4aac-89d9-84232fb38946",
"type": "indicator",
"spec_version": "2.1",
"created_by_ref": "identity--74f7eb0f-1ca3-491a-b4cf-f4d54c83c87d",
"created": "2024-06-28T03:09:12.806Z",
"modified": "2024-11-11T07:59:53.564Z",
"name": "File SHA1: f17d9b3cd2ba1dea125d2e1a4aeafc6d4d8f12dc",
"lang": "en",
"pattern": "[file:hashes.'SHA-1' = 'f17d9b3cd2ba1dea125d2e1a4aeafc6d4d8f12dc']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2024-11-11T07:59:53.017Z",
"valid_until": "2025-11-11T07:59:53.017Z",
"object_marking_refs": [
"marking-definition--ce6a3a69-be72-4e80-bfc1-4c6b44f23651", // Copyright
"marking-definition--05972cd1-d8ed-42f3-b104-7770c3787929", // Disclaimer
"marking-definition--f88d31f6-486f-44da-b317-01333bde0b82" // TLP:AMBER
]
}