OpenCTI ( Part II of V )
What: #platform
Where: #github
Who: Filigran
When: 28/06/2019
How: via docker
В прошлую среду мы определились с целями внедрения TIP платформы, прочитали описания этого класса решений у различных мировых вендоров, а также краткое описание самой платформы OpenCTI. Сейчас давайте наполним нашу платформу данными Threat Intelligence, т.к. изначально это просто пустая коробка без каких-либо разведданных 📦
Для приготовления TIP нам понадобится:
1️⃣ аккаунт на feedly. Бежим регистрироваться, если ещё не.
2️⃣ .opml файлик с новостными сайтами (можно найти в посте)
3️⃣ запущенный стенд OpenCTI
После регистрации на Feedly и ввода всех необходимых данных вам будет доступен режим Enterprise для вашего аккаунта. Пробный период выдаётся на 7 суток и активируется автоматически. Помимо того, что Enterprise стоит $28,800 💵 в год, чем же он ещё примечателен? А тем, что помимо остальных плюшек, связанных с AI, интеграциями, увеличенным запасом сайтов в мониторинге, он единственный (❗️) из предлагаемых подписок предоставляет доступ к API. Что, с моей стороны, вопиюще несправедливо 😠 Но продактам, уверен, норм.
После авторизации на сайте не забудьте загрузить .opml файлик (нажимаем на шестерёнку, как на скриншоте ниже, и выбираем Import opml)
Собсно, всю инструкцию по настройке переводить не буду, доступно изложено здесь. Прокомментирую, что все токены: Feedly API, API токен нашей папки с новостями, токен созданного коннектора из OpenCTI — все они будут нужны для того, чтобы правильно настроить интеграцию. Открываем файл docker-compose.yml, дописываем в конец данные для нашего коннектора. Здесь надо не забыть указать FEEDLY_STREAM_IDS это как раз наш API токен папки с новостями.
Перезапускаем OpenCTI, идём смотреть в меню Data вкладка Connectors успешно ли всё запустилось (а запуститься успешно должно). Собсно, готово! Вы восхитительны 👏
Подождите немного, пока коннектор спарсит данные с Feedly и смотрите как у вас платформа наполняется следующими данными:
🔸 карточки профилей злоумышленников;
🔹 TTPs злоумышленников;
🔸 индикаторы компрометации;
🔹 карточки использованного ВПО;
🔸 строится граф связей между сущностями;
🔹 конечно же, сами отчёты в абсолютно читабельном виде со всеми скриншотами.
Что требуется от аналитика TI в части сопровождения:
— актуализировать новостные порталы время от времени. Менять либо сам файлик .opml, либо напрямую в интерфейсе Feedly
— на еженедельной основе генерировать новый токен Feedly API (больше менять в атрибутах коннектора ничего не требуется)
[Твит] помните?