4 дня назад
История
README.md
Коннектор OpenCTI Cyber Threat Tech IoC Lookup
| Статус | Дата | Комментарий |
|---|---|---|
| Проверено партнёром | - | - |
Содержание
- Коннектор OpenCTI Cyber Threat Tech IoC Lookup
Введение
CTT IoC Lookup предоставляет доступ к комплексному обогащению отдельных индикаторов компрометации через единый API Cyber Threat Tech. Сервис проверяет IP-адреса, домены, URL-адреса и хеш-значения, дополняя их историческими и контекстными данными: связью с угрозами и APT-группами, категориями вредоносной активности, TTP, CVE, связанными индикаторами, ASN, геолокацией, WHOIS и внешними источниками. Для каждого IoC рассчитывается индивидуальная оценка риска, а механизмы нормализации и фильтрации помогают снижать количество ложных срабатываний и быстрее принимать решение о необходимости детектирования.
Ключевые возможности:
- Обогащение IP-адресов, доменов, URL и хеш-значений через единый API
- Предоставление контекста по IoC: угрозы, APT-группы, TTP, CVE, связанные индикаторы и категории вредоносной активности
- Индивидуальная оценка риска для каждого IoC по модели 0-100 с учётом источников, тегов и частоты наблюдений
- Нормализация индикаторов, названий угроз и APT-групп для единообразного представления данных
- Фильтрация известных легитимных объектов и ложных срабатываний
- Обогащение сетевыми и регистрационными данными: ASN, геолокация, DNS, WHOIS и HTTP-статус
- Поддержка исторических данных по индикаторам, включая время первого и последнего обнаружения
- Быстрая интеграция с TIP, SOAR, SIEM, EDR, XDR, NGFW и WAF-решениями
Установка
Требования
- Платформа OpenCTI >= 6.0.0
- API-ключ Cyber Threat Tech (получить можно или написав на info@cyberthreattech.ru)
- Сетевой доступ к API Cyber Threat Tech
Конфигурация
Конфигурация OpenCTI
| Параметр | Переменная Docker | Обязательный | Описание |
|---|---|---|---|
opencti_url |
OPENCTI_URL |
Да | URL платформы OpenCTI |
opencti_token |
OPENCTI_TOKEN |
Да | Токен администратора по умолчанию, настроенный в платформе OpenCTI |
Базовая конфигурация коннектора
| Параметр | Переменная Docker | Обязательный | Описание |
|---|---|---|---|
connector_id |
CONNECTOR_ID |
Да | Корректный произвольный UUIDv4, уникальный для этого коннектора |
connector_name |
CONNECTOR_NAME |
Да | Имя экземпляра коннектора |
connector_scope |
CONNECTOR_SCOPE |
Да | Поддерживается: IPv4-Addr,Domain-Name,Url,StixFile,indicator |
connector_auto |
CONNECTOR_AUTO |
Нет | Включает/отключает автообогащение (по умолчанию: false) |
connector_log_level |
CONNECTOR_LOG_LEVEL |
Да | Уровень логирования (debug, info, warn, error) |
Конфигурация Cyber Threat Tech IoC Lookup
| Параметр | Переменная Docker | Обязательный | Описание |
|---|---|---|---|
ctt_ioc_lookup_api_key |
CTT_IOC_LOOKUP_API_KEY |
Да | API-ключ Cyber Threat Tech |
ctt_ioc_lookup_base_url |
CTT_IOC_LOOKUP_BASE_URL |
Нет | Базовый URL API (по умолчанию: ) |
ctt_ioc_lookup_max_tlp |
CTT_IOC_LOOKUP_MAX_TLP |
Да | Максимальный TLP для обогащения (по умолчанию: TLP:AMBER+STRICT) |
ctt_ioc_lookup_update_confidence |
CTT_IOC_LOOKUP_UPDATE_CONFIDENCE |
Нет | Обновлять уровень доверия из данных обогащения (по умолчанию: true) |
ctt_ioc_lookup_update_score |
CTT_IOC_LOOKUP_UPDATE_SCORE |
Нет | Обновлять оценку из данных обогащения (по умолчанию: true) |
ctt_ioc_lookup_update_valid_from |
CTT_IOC_LOOKUP_UPDATE_VALID_FROM |
Нет | Обновлять valid_from на основе last_seen (по умолчанию: true) |
ctt_ioc_lookup_label_format |
CTT_IOC_LOOKUP_LABEL_FORMAT |
Нет | Формат меток: short или long (по умолчанию: short) |
ctt_ioc_lookup_score_type |
CTT_IOC_LOOKUP_SCORE_TYPE |
Нет | Тип оценки: last или total (по умолчанию: total) |
ctt_ioc_lookup_update_description_action |
CTT_IOC_LOOKUP_UPDATE_DESCRIPTION_ACTION |
Нет | Объединение описания: overwrite, append, prepend |
ctt_ioc_lookup_detection_flag_threshold |
CTT_IOC_LOOKUP_DETECTION_FLAG_THRESHOLD |
Нет | Порог оценки для флага детектирования (по умолчанию: 45) |
ctt_ioc_lookup_timeout |
CTT_IOC_LOOKUP_TIMEOUT |
Нет | Таймаут API в секундах (по умолчанию: 10) |
Развёртывание
Развёртывание через Docker
Соберите Docker-образ, используя предоставленный Dockerfile.
docker build -t connector-ctt-ioc-lookup:latest .
Пример docker-compose.yml:
version: '3'
services:
connector-ctt-ioc-lookup:
image: connector-ctt-ioc-lookup:latest
environment:
- OPENCTI_URL=http://localhost
- OPENCTI_TOKEN=ChangeMe
- CONNECTOR_ID=ChangeMe
- CONNECTOR_NAME=CTT IoC Lookup
- CONNECTOR_SCOPE=IPv4-Addr,Domain-Name,Url,StixFile,indicator
- CONNECTOR_AUTO=false
- CONNECTOR_LOG_LEVEL=info
- CTT_IOC_LOOKUP_BASE_URL=https://api.cyberthreattech.ru/v1
- CTT_IOC_LOOKUP_API_KEY=ChangeMe
- CTT_IOC_LOOKUP_MAX_TLP=TLP:AMBER+STRICT
- CTT_IOC_LOOKUP_UPDATE_CONFIDENCE=true
- CTT_IOC_LOOKUP_UPDATE_SCORE=true
- CTT_IOC_LOOKUP_UPDATE_VALID_FROM=true
- CTT_IOC_LOOKUP_LABEL_FORMAT=short
- CTT_IOC_LOOKUP_SCORE_TYPE=last
- CTT_IOC_LOOKUP_UPDATE_DESCRIPTION_ACTION=overwrite
- CTT_IOC_LOOKUP_DETECTION_FLAG_THRESHOLD=45
- CTT_IOC_LOOKUP_TIMEOUT=10
restart: always
Ручное развёртывание
- Клонируйте репозиторий
- Скопируйте
config.yml.sampleвconfig.ymlи выполните настройку - Установите зависимости:
pip install -r requirements.txt - Запустите коннектор
Использование
Коннектор обогащает наблюдаемые объекты и индикаторы следующим образом:
- Проверяет вредоносность через API CTT Cloud
- Добавляет связанный threat intelligence контекст
- Корректирует оценки и уровень доверия
- Устанавливает флаги детектирования на основе порога
Запуск обогащения:
- Вручную через интерфейс OpenCTI
- Автоматически, если
CONNECTOR_AUTO=true - Через playbooks
Поведение
Поток данных
flowchart LR
A[Наблюдаемый объект/Индикатор] --> B[CTT IoC Lookup]
B --> C{CTT API}
C --> D[Данные об угрозах]
D --> E[Вредоносное ПО/Субъекты]
D --> F[TTP/CVE]
D --> G[Оценка/Доверие]
E --> H[OpenCTI]
F --> H
G --> H
Сопоставление обогащения
| Тип наблюдаемого объекта | Данные обогащения | Описание |
|---|---|---|
| IPv4-Addr | ASN, GeoIP, Репутация | Threat intelligence по IP |
| Domain-Name | WHOIS, Репутация | Threat intelligence по домену |
| URL | Анализ, Репутация | Threat intelligence по URL |
| StixFile | Анализ хеша | Репутация хеша файла |
| Indicator | Полный контекст | Обогащение на основе паттерна |
Типы оценок
| Тип | Описание |
|---|---|
last |
Оценка, рассчитанная на момент last_seen |
total |
Оценка, основанная на времени с момента last_seen |
Создаваемые объекты STIX
| Тип объекта | Описание |
|---|---|
| Malware | Связанные семейства вредоносного ПО |
| Threat-Actor | Связанные субъекты угроз |
| Tool | Связанные инструменты |
| Attack-Pattern | TTP из MITRE ATT&CK |
| Vulnerability | Связанные CVE |
| Labels | Классификация угроз |
| External Reference | Ссылки на источники |
Отладка
Включите логирование отладки, установив CONNECTOR_LOG_LEVEL=debug, чтобы видеть:
- Подробности запросов и ответов API
- Расчёты оценок
- Обработку обогащения
Дополнительная информация
Описание
CTT IOC Lookup connector для OpenCTI
Конвейеры
8
успешных
1
с ошибкой