Incident Hub Connector for OpenCTI
| Статус | Дата | Комментарий |
|---|---|---|
| Проверено партнером | - | - |
Incident Hub Connector интегрирует структурированную информацию об инцидентах кибербезопасности в OpenCTI. Коннектор агрегирует данные, связанные с инцидентами, из нескольких источников, включая отчеты об инцидентах, аналитические публикации, раскрытия государственных органов, материалы поставщиков решений безопасности, исследовательских групп, профессиональных киберсообществ и отдельных исследователей. Incident Hub преобразует человекочитаемые описания инцидентов в бандлы STIX 2.1. Коннектор импортирует данные об инцидентах в OpenCTI вместе с краткими сводками, ключевыми фактами и аналитическими заметками, связанными с каждым инцидентом. Коннектор создает и импортирует основные STIX-объекты, включая Incidents, Notes и Identities, а также связи между ними. Это позволяет документировать инциденты, добавлять к ним контекст и связывать их с затронутыми или вовлеченными организациями в OpenCTI единообразно и структурированно. Благодаря интеграции Incident Hub платформа OpenCTI дополняется качественными структурированными данными об инцидентах, что позволяет CTI- и SOC-аналитикам автоматизировать загрузку инцидентов, централизовать знания о них и значительно сократить время, необходимое для анализа и контекстуализации инцидентов.
Больше не нужно вручную копировать и вставлять сведения об инцидентах из статей, извлекать информацию или нормализовать описания. Incident Hub автоматически обрабатывает материалы, связанные с инцидентами, и структурирует их перед загрузкой в OpenCTI. Если источник содержит неполную, неоднозначную или непоследовательно описанную информацию об инциденте, она загружается в контекстуализированном виде с использованием Incidents, Notes и Identities. Это сохраняет аналитическую ценность данных без принудительного назначения некорректных или чрезмерно конкретных классификаций. Дополнительные сведения, предположения или уточнения из источника сохраняются как Notes и напрямую связываются с соответствующим Incident. Организации, упомянутые в разных источниках, нормализуются и связываются единообразно, что позволяет отслеживать одну и ту же организацию в разных отчетах, регионах и вариантах именования, используемых различными авторами, странами и поставщиками решений безопасности. Это позволяет аналитикам автоматически коррелировать инциденты, связанные с одними и теми же организациями, даже если их описания различаются между источниками. Централизуя и структурируя данные об инцидентах таким образом, Incident Hub помогает аналитикам поддерживать в OpenCTI чистую, согласованную и качественную базу знаний об инцидентах, существенно снижая объем ручной работы и улучшая анализ инцидентов и историческое отслеживание.
Ключевые возможности
- Значительная экономия времени: ручной импорт и обработка статей, блогов и отчетов об угрозах занимает много времени и больше не требуется.
- Библиотека отчетов об угрозах: храните все Incidents, их описания и заметки в одном месте.
- Интеграция с OpenCTI: бесшовно интегрирует полученные данные в модель данных OpenCTI.
Этот коннектор дает пользователям более полное и глубокое понимание ландшафта инцидентов кибербезопасности за счет использования структурированной и курируемой аналитики об инцидентах, предоставляемой RST Cloud.
Требования
- OpenCTI Platform версии 6.8.5 или выше.
Рекомендуемые коннекторы
Этот коннектор согласован с данными, которые загружаются распространенными коннекторами OpenCTI. Рекомендуется установить следующие коннекторы вместе с RST Report Hub Connector:
- MITRE Datasets (https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/mitre)
- OpenCTI Datasets (https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/opencti)
- CISA Known Exploited Vulnerabilities (https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/cisa-known-exploited-vulnerabilities)
Конфигурация
Настройка коннектора проста. Минимальная конфигурация требует указать API-ключ и параметры подключения к OpenCTI. Ниже приведен полный список настраиваемых параметров:
| Параметр | Docker envvar | Обязательный | Описание |
|---|---|---|---|
| OpenCTI URL | OPENCTI_URL |
Да | URL платформы OpenCTI. |
| OpenCTI Token | OPENCTI_TOKEN |
Да | Стандартный токен администратора, заданный в платформе OpenCTI. |
| Connector ID | CONNECTOR_ID |
Да | Уникальный идентификатор UUIDv4 для этого экземпляра коннектора. |
| Connector Name | CONNECTOR_NAME |
Да | Имя коннектора. Например: Incident Hub. |
| Connector Scope | CONNECTOR_SCOPE |
Да | Область или тип данных, импортируемых коннектором: MIME-тип или STIX Object. Например: application/json |
| Log Level | CONNECTOR_LOG_LEVEL |
Да | Определяет подробность логов. Возможные значения: debug, info, warn или error. |
| Duration period | CONNECTOR_DURATION_PERIOD |
Да | Период ожидания между двумя запусками коннектора. По умолчанию: PT1H (1 час). |
| Update existing data | CONNECTOR_UPDATE_EXISTING_DATA |
Нет | Управляет тем, должны ли импортируемые STIX-объекты обновлять уже существующие данные в OpenCTI. Возможные значения: true или false. По умолчанию: true |
| Incident Hub API Base URL | INCIDENTHUB_API_BASE_URL |
Да | В некоторых случаях может потребоваться использовать локальный API endpoint. |
| Incident Hub API Key | INCIDENTHUB_API_KEY |
Да | Ваш API-ключ для доступа к Incident Hub. |
| Incident Hub Read Timeout | INCIDENTHUB_READ_TIMEOUT |
Нет | Таймаут чтения для каждого фида. Если коннектор не успевает получить отчет, увеличьте таймаут чтения. По умолчанию (сек.): 60 |
| Incident Hub Retry Delay | INCIDENTHUB_RETRY_DELAY |
Нет | Указывает, сколько секунд ждать перед следующей попыткой подключения к API. По умолчанию (сек.): 30 |
| Incident Hub Retry Attempts | INCIDENTHUB_RETRY_ATTEMPTS |
Нет | Количество повторных попыток. По умолчанию: 5 |
| Incident Hub Import Start Date | INCIDENTHUB_IMPORT_START_DATE |
Нет | Укажите дату, начиная с которой нужно получать инциденты, в формате "%Y%m%d" (например, 20220101). Импорт данных за каждый день будет выполняться с задержкой, равной CONNECTOR_DURATION_PERIOD. По умолчанию начальная дата рассчитывается как 7 дней назад. |
| Incident Hub Language | INCIDENTHUB_LANGUAGE |
Нет | Язык импорта инцидентов. По умолчанию: eng |
| Incident Hub Labels Use Prefix | INCIDENTHUB_LABELS_USE_PREFIX |
Нет | Использовать настроенные префиксы для меток. Возможные значения: true или false. По умолчанию: false |
| Incident Hub Labels Disabled | INCIDENTHUB_LABELS_DISABLED |
Нет | Пользователь может выбрать список меток, которые коннектор должен игнорировать при создании объектов Incident. Объекты, содержащие эти метки, не будут созданы. Возможные значения: список меток, разделенных запятыми. По умолчанию: не задано |
| Incident Hub Labels Add | INCIDENTHUB_LABELS_ADD |
Нет | Пользователь может выбрать список меток, которые коннектор должен добавлять ко всем создаваемым объектам. Возможные значения: список меток, разделенных запятыми. По умолчанию: не задано |
Совместимость с версиями OpenCTI
Коннектор выпускается двумя линиями, перекрывающими OpenCTI 6.4.0 – 6.9.x. Используйте тег образа, соответствующий вашей версии платформы:
| Версия платформы OpenCTI | Тег образа коннектора |
|---|---|
| 6.4.0 – 6.8.13 | 6.4.0 или 6.8.13 (legacy-линия, до connectors-SDK) |
| 6.8.14 – 6.9.x | 6.9.0, тег вашей версии (напр. 6.9.29) или latest (current-линия) |
connectors-SDK появился в OpenCTI 6.8.14. Legacy-образ (тег
6.4.0) совместим со всеми платформами ниже этой границы; для 6.8.14 и новее берите тег вашей версии OpenCTI (ближайший доступный в линии 6.9.x).