檢視次數:
使用受信任的自動化情報信息交換(TAXII)連接器,將趨勢安全威脅資訊饋送內容整合到OpenCTI中。此過程使用趨勢安全威脅資訊饋送應用程式介面(API),支援TAXII 2.1通訊協定以連接到OpenCTI。

步驟

  1. 複製TAXII2 連接器存儲庫
  2. docker-compose.yml 中配置常用環境變數。

    一般設定

    環境變數
    說明
    OPENCTI_URL
    目標 OpenCTI 實例的統一資源定位符 (URL),連接器將資料發送至此位置
    OPENCTI_TOKEN
    用於將連接器與 OpenCTI 認證的 API 令牌
    CONNECTOR_ID
    生成一個隨機的全域唯一識別碼 (UUID) 以識別此連接器實例
    隨機 UUID
    TAXII2_DISCOVERY_URL
    TAXII 2.1 安全威脅資訊饋送 API 的 URL
    請參考區域 TAXII feed URL 表格
    TAXII2_INITIAL_HISTORY
    首次連接時,從 TAXII2 伺服器提取歷史資料的時間範圍(以小時為單位)
    預設:24
  3. 選擇 基本驗證持有者令牌驗證,並配置相應的變數。

    基本驗證

    環境變數
    描述
    TAXII2_USERNAME
    用戶名憑證以訪問TAXII伺服器
    業務 ID
    TAXII2_PASSWORD
    訪問TAXII伺服器的密碼憑證
    Trend Vision One API 權杖
    TAXII2_USE_TOKEN
    切換至令牌驗證方法
    false 或空白
    TAXII2_USE_APIKEY
    切換至金鑰/值驗證
    false 或空白

    Bearer token 驗證

    環境變數
    描述
    TAXII2_USE_APIKEY
    切換至使用鍵值對作為驗證方法
    true
    TAXII2_APIKEY_KEY
    API 金鑰 - HTTP 標頭的名稱
    授權
    TAXII2_APIKEY_VALUE
    將秘密值設為標頭值
    Trend Vision OneAPI 權杖
  4. 要在匯入過程中篩選標記定義物件,請使用以下環境變數。
    • TAXII2_IGNORE_OBJECT_TYPES 設為 true 以排除特定物件。
    • 使用逗號分隔的 STIX 物件類型列表來指定 TAXII2_OBJECT_TYPES_TO_IGNORE 以暫不處理。
    OpenCTI 使用交通信號燈通訊協定 (TLP),因此 TLP 顯示如預期。
  5. 執行以下命令,通過 TAXII2 連接器將擷取的資料防護導入 OpenCTI。
    $ docker-compose up
  6. 在 OpenCTI 網頁入口的 「資料防護」「Ingestion」「Connectors」「TAXII2」 監控匯入狀態。
  7. 若要重新匯入由 TAXII2_INITIAL_HISTORY 定義的期間資料,請在 OpenCTI 入口網站中點擊 「重設」