ThreatKB Connector for OpenCTI
| Статус | Дата | Комментарий |
|---|---|---|
| Проверено партнером | - | - |
Описание
Сталкиваясь с киберугрозой ИБ специалистам важно быстро понять, насколько данная угроза опасна, каково ее поведение и предполагаемые последствия от ее реализации. Чаще всего, имея на руках только название группировки или ВПО, ответы на эти вопросы специалист вынужден искать через поисковые системы затрачивая значительное время перелопачивая множество статей, заметок и аналитических отчетов.
CTT Threat KB – это консолидированная база всех киберугроз, описание которых появляется в сети Интернет. Мы автоматически собираем, пересекаем и взимообогащаем всю информацию по каждой киберугрозе, появляющуюся в Cyber Threat Intelligence отчетах стратегического, тактических и операционных уровней. Отслеживая более 180 CTI-источников отчетов, мы автоматически перестраиваем описание киберугроз с учетом новой информации.
Все собранные описания киберугроз поставляются нами в формате STIX 2.1 как через наше Rest-API, так и по протоколу TAXII. Таким образом наши данные полностью передаются на вашу сторону и будут доступны вам в режиме offline, а любые изменения на нашей стороне оперативно доставлены клиенту.
CTT Threat KB – API для доступа к описанию киберугроз, собранных со всего мира.
Ключевые особенности:
- 180+ источников для построения описаний киберугроз (в основе данные из CTT Report Hub)
- Текущий объем базы с описаниями киберугроз:
- 7000+ ВПО
- 989 хакерских утилит
- 1340 группировок
- 380 кампаний
- Offline доступ ко всем данным
- Автоматическое перестроение описаний киберугроз
- Оперативная доставка изменений по TAXII
- Описание киберугроз на русском и английском языках
- Список всех CTI отчетов, на основе которых построено описание
- Совместная работа с сервисами CTT Threat Feed и CTT Report Hub
- API для анализа вашего текста и извлечения из него названий киберугроз
Состав:
- STIX-бандл с описание киберугрозы на русском и английском языках
- Ссылки на все отчеты с упоминанием каждой киберугрозы
- API для полной выгрузки базы знаний в сторону клиента
- API для извлечения из текста названий киберугроз
Требования
- OpenCTI Platform версии 6.9.0 или совместимой с
pycti==6.9.0. - Python версии 3.12 или выше для локального запуска.
- Docker и Docker Compose для контейнерного запуска или локального тестового стенда OpenCTI.
Рекомендуемые коннекторы
Этот коннектор согласован с данными, которые загружаются распространенными коннекторами OpenCTI. Рекомендуется установить следующие коннекторы вместе с ThreatKB Connector:
- MITRE Datasets (https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/mitre)
- OpenCTI Datasets (https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/opencti)
- CISA Known Exploited Vulnerabilities (https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/cisa-known-exploited-vulnerabilities)
Конфигурация
Настройка коннектора проста. Минимальная конфигурация требует указать параметры подключения к OpenCTI, базовый URL ThreatKB API и начальную дату импорта. Ниже приведен полный список настраиваемых параметров:
| Параметр | Docker envvar | Обязательный | Описание |
|---|---|---|---|
| OpenCTI URL | OPENCTI_URL |
Да | URL платформы OpenCTI. |
| OpenCTI Token | OPENCTI_TOKEN |
Да | Токен OpenCTI, используемый коннектором для подключения к платформе. |
| Connector ID | CONNECTOR_ID |
Да | Уникальный идентификатор UUIDv4 для этого экземпляра коннектора. |
| Connector Name | CONNECTOR_NAME |
Нет | Имя коннектора. По умолчанию: ThreatKB Connector. |
| Connector Scope | CONNECTOR_SCOPE |
Да | Область или тип данных, импортируемых коннектором. Рекомендуемое значение: objects. |
| Log Level | CONNECTOR_LOG_LEVEL |
Нет | Определяет подробность логов. Возможные значения: debug, info, warn, warning или error. По умолчанию: error. |
| Duration period | CONNECTOR_DURATION_PERIOD |
Нет | Период ожидания между двумя запусками коннектора в формате ISO 8601. По умолчанию: PT1H. Минимально допустимое значение: PT1M; меньший интервал будет заменен на PT1M с сообщением об ошибке в логах. |
| Update existing data | CONNECTOR_UPDATE_EXISTING_DATA |
Нет | Управляет тем, должны ли импортируемые STIX-объекты обновлять уже существующие данные в OpenCTI. Возможные значения: true или false. По умолчанию: false. |
| ThreatKB API Base URL | THREATKB_API_BASE_URL |
Да | Базовый URL ThreatKB API. Например: https://api.cyberthreattech.ru/v2. |
| ThreatKB API Key | THREATKB_API_KEY |
Нет | API-ключ для доступа к ThreatKB. Если API endpoint не требует ключ, параметр можно оставить пустым. |
| ThreatKB Read Timeout | THREATKB_READ_TIMEOUT |
Нет | Таймаут чтения ответа ThreatKB API в секундах. Значение должно быть больше 15. По умолчанию: 60. |
| ThreatKB Retry Delay | THREATKB_RETRY_DELAY |
Нет | Количество секунд ожидания перед следующей попыткой подключения к ThreatKB API. По умолчанию: 30. |
| ThreatKB Retry Attempts | THREATKB_RETRY_ATTEMPTS |
Нет | Количество попыток выполнения запроса к ThreatKB API. По умолчанию: 3. |
| ThreatKB Import Start Date | THREATKB_IMPORT_START_DATE |
Да | Дата, начиная с которой нужно получать данные, в формате YYYYMMDD (например, 20260101). Используется при первом запуске, когда состояние коннектора еще не сохранено. |
| ThreatKB Import Overlap | THREATKB_IMPORT_OVERLAP |
Нет | Перекрытие, которое вычитается из completed_until при открытии нового окна импорта. Формат ISO 8601. По умолчанию: PT10M. |
| ThreatKB Import Safety Delay | THREATKB_IMPORT_SAFETY_DELAY |
Нет | Задержка перед верхней границей нового окна импорта, чтобы не брать самые свежие изменения OpenCTI, которые еще могут активно меняться. Формат ISO 8601. По умолчанию: PT1M. |
| ThreatKB Language | THREATKB_LANGUAGE |
Нет | Язык данных, запрашиваемых у ThreatKB. Возможные значения: eng или ru. По умолчанию: eng. |
| ThreatKB Labels Use Prefix | THREATKB_LABELS_USE_PREFIX |
Нет | Использовать настроенные префиксы для меток. Возможные значения: true или false. По умолчанию: false. |
| ThreatKB Labels Disabled | THREATKB_LABELS_DISABLED |
Нет | Список меток, при наличии которых STIX-объект не будет импортирован. Возможные значения: список меток, разделенных запятыми. По умолчанию: не задано. |
| ThreatKB Labels Add | THREATKB_LABELS_ADD |
Нет | Список меток, которые коннектор должен добавлять ко всем импортируемым STIX-объектам. Возможные значения: список меток, разделенных запятыми. По умолчанию: не задано. |
| ThreatKB Main Prefix | THREATKB_MAIN_PREFIX |
Нет | Основной префикс для меток при включенном THREATKB_LABELS_USE_PREFIX. По умолчанию загружается из src/label_prefixes.yml и равен ctt. |
| ThreatKB Prefix Categories | THREATKB_PREFIX_CATEGORIES |
Нет | Сопоставление меток с категориями префиксов. Обычно загружается из src/label_prefixes.yml; задавать этот параметр вручную рекомендуется только при необходимости полностью переопределить встроенную карту категорий. |
| ThreatKB Prevent User Data Overwrite | THREATKB_PREVENT_USER_DATA_OVERWRITE |
Нет | Если включено, коннектор не импортирует объекты, которые уже существуют в OpenCTI и не имеют маркерной метки этого коннектора, чтобы не перезаписывать пользовательские данные. Возможные значения: true или false. По умолчанию: false. |
| ThreatKB Ownership Marker Label | THREATKB_OWNERSHIP_MARKER_LABEL |
Нет | Базовая метка, обозначающая объекты, принесённые этим коннектором. Сопоставляется в любой префиксной форме (например, threatkb или ctt:threatkb). Используется только при включённом THREATKB_PREVENT_USER_DATA_OVERWRITE. По умолчанию: threatkb. |
Совместимость с версиями OpenCTI
Коннектор выпускается двумя линиями, перекрывающими OpenCTI 6.4.0 – 6.9.x. Используйте тег образа, соответствующий вашей версии платформы:
| Версия платформы OpenCTI | Тег образа коннектора |
|---|---|
| 6.4.0 – 6.8.13 | 6.4.0 или 6.8.13 (legacy-линия, до connectors-SDK) |
| 6.8.14 – 6.9.x | 6.9.0, тег вашей версии (напр. 6.9.29) или latest (current-линия) |
connectors-SDK появился в OpenCTI 6.8.14. Legacy-образ (тег
6.4.0) совместим со всеми платформами ниже этой границы; для 6.8.14 и новее берите тег вашей версии OpenCTI (ближайший доступный в линии 6.9.x).