ctt / ctt_whois_api_connector
CI/CD
Реестр контейнеров и пакетов
gitflic-sync-bot
Sync 6.9.29
4 дня назад История
README.md

Cyber Threat Tech WHOIS API коннектор для OpenCTI

Статус Дата Комментарий
Community - -

Оглавление

Описание

В процессе выявления и дальнейшей работы с инцидентами часто возникает необходимость получить дополнительные данные по доменным именам, участвующим в этих самых инцидентах. Зачастую информация о регистраторе домена и тому, насколько давно он был зарегистрирован, может много рассказать о домене опытному аналитику. Сервис CTT WHOIS предназначен для получения именно такой информации. Наш сервис получает информацию напрямую от WHOIS-серверов, разбирает ответы и предоставляет ответ в JSON-формате.

CTT WHOIS – API для получения актуальной WHOIS-информации по доменным именам.

Ключевые особенности:

  • Рассчитан на массовые проверки (до 200К запросов/сутки)

Состав:

  • Регистратор домена
  • Возраст домена
  • Дата регистрации, обновления
  • «Сырой» ответ от WHOIS-сервера

Установка

Требования

  • Платформа OpenCTI >= 6.0.0
  • API-ключ Cyber Threat Tech (получить можно написав на info@cyberthreattech.ru)
  • Сетевой доступ к API Cyber Threat Tech

Конфигурация

Конфигурация OpenCTI

Параметр Переменная Docker Обязательный Описание
opencti_url OPENCTI_URL Да URL платформы OpenCTI
opencti_token OPENCTI_TOKEN Да Токен администратора по умолчанию, настроенный в OpenCTI

Базовая конфигурация коннектора

Параметр Переменная Docker Обязательный Описание
connector_id CONNECTOR_ID Да Валидный произвольный UUIDv4, уникальный для этого коннектора
connector_name CONNECTOR_NAME Да Имя экземпляра коннектора
connector_scope CONNECTOR_SCOPE Да Поддерживается: Domain-Name,Url,indicator
connector_auto CONNECTOR_AUTO Нет Включить или выключить автообогащение
connector_log_level CONNECTOR_LOG_LEVEL Да Уровень логирования (debug, info, warn, error)

Конфигурация Cyber Threat Tech WHOIS API

Параметр Переменная Docker Обязательный Описание
ctt_whois_api_api_key CTT_WHOIS_API_API_KEY Да API-ключ Cyber Threat Tech
ctt_whois_api_base_url CTT_WHOIS_API_BASE_URL Нет Базовый URL API (по умолчанию: )
ctt_whois_api_max_tlp CTT_WHOIS_API_MAX_TLP Нет Максимальный TLP (по умолчанию: TLP:AMBER+STRICT)
ctt_whois_api_timeout CTT_WHOIS_API_TIMEOUT Нет Таймаут API в секундах (по умолчанию: 10)
ctt_whois_api_update_output_action CTT_WHOIS_API_UPDATE_OUTPUT_ACTION Нет Режим обновления: overwrite или append
ctt_whois_api_whois_output_object CTT_WHOIS_API_WHOIS_OUTPUT_OBJECT Нет Цель вывода: note или description
ctt_whois_api_output_format CTT_WHOIS_API_OUTPUT_FORMAT Нет Формат: standard или extended
ctt_whois_api_output_include_raw CTT_WHOIS_API_OUTPUT_INCLUDE_RAW Нет Включить сырой WHOIS-ответ (по умолчанию: false)

Развертывание

Развертывание через Docker

Соберите Docker-образ с помощью предоставленного Dockerfile.

Пример docker-compose.yml:

version: '3'
services:
  connector-ctt-whois-api:
    image: connector-ctt-whois-api:latest
    environment:
      - OPENCTI_URL=http://localhost
      - OPENCTI_TOKEN=ChangeMe
      - CONNECTOR_ID=ChangeMe
      - CONNECTOR_NAME=Cyber Threat Tech WHOIS API
      - CONNECTOR_SCOPE=Domain-Name,Url,indicator
      - CONNECTOR_AUTO=false
      - CONNECTOR_LOG_LEVEL=info
      - CTT_WHOIS_API_BASE_URL=https://api.cyberthreattech.ru/v1
      - CTT_WHOIS_API_API_KEY=ChangeMe
      - CTT_WHOIS_API_MAX_TLP=TLP:AMBER+STRICT
      - CTT_WHOIS_API_UPDATE_OUTPUT_ACTION=overwrite
      - CTT_WHOIS_API_WHOIS_OUTPUT_OBJECT=note
      - CTT_WHOIS_API_OUTPUT_FORMAT=standard
      - CTT_WHOIS_API_OUTPUT_INCLUDE_RAW=false
      - CTT_WHOIS_API_TIMEOUT=10
    restart: always

Ручное развертывание

  1. Клонируйте репозиторий
  2. Скопируйте config.yml.sample в config.yml и выполните настройку
  3. Установите зависимости: pip install -r requirements.txt
  4. Запустите коннектор

Использование

Коннектор обогащает домены и URL следующим образом:

  1. При необходимости извлекает домен из URL
  2. Запрашивает регистрационные данные через Cyber Threat Tech WHOIS API
  3. Добавляет WHOIS-информацию в наблюдаемый объект

Запустить обогащение можно:

  • Вручную через интерфейс OpenCTI
  • Автоматически, если CONNECTOR_AUTO=true
  • Через playbooks

Поведение

Поток данных

flowchart LR
    A[Наблюдаемый объект домена или URL] --> B[Коннектор Cyber Threat Tech WHOIS API]
    B --> C{Извлечь домен}
    C --> D[API Cyber Threat Tech]
    D --> E[Данные WHOIS/RDAP]
    E --> F{Цель вывода}
    F -->|`note`| G[Создать заметку]
    F -->|`description`| H[Обновить описание]
    G --> I[OpenCTI]
    H --> I

Варианты вывода

Вариант Описание
note Создать объект Note с данными WHOIS
description Обновить описание наблюдаемого объекта

Форматы вывода

Формат Описание
standard Базовые поля WHOIS
extended Дополнительные поля WHOIS

Детали обработки

  1. Обработка поддоменов: Если запрошенный домен является поддоменом и для него нет регистрационных данных, извлекается эффективный TLD и регистрационные данные возвращаются для него
  2. Выбор протокола: Автоматически определяется, использовать WHOIS или RDAP
  3. Данные в реальном времени: Данные о регистрации домена запрашиваются с серверов в реальном времени с короткоживущим кэшированием

Отладка

Включите детальное логирование, установив CONNECTOR_LOG_LEVEL=debug, чтобы видеть:

  • детали запросов и ответов API
  • логику извлечения домена
  • обработку WHOIS-данных

Дополнительная информация

Ключевые преимущества

  • Не требуется знание протокола WHOIS: Автоматически выбирается WHOIS или RDAP
  • Без блокировок: Позволяет избежать блокировки WHOIS-серверами при массовом обогащении
  • Единообразный вывод: Независимо от протокола вы всегда получаете одинаковый JSON-формат
Описание
CTT Whois API connector для OpenCTI
cyberthreat.tech/ctt-whois-api/
Readme
0 Форки
0 Звезд
0 Наблюдатели
Посмотреть файловое дерево
Конвейеры
8 успешных
1 с ошибкой
Разработчики