k2-ornata(個人的「やってみたこと」ブログ)

OpenCTIとVirusTotal、Shodanを連携させてみた

by

keitsu
in
このエントリーをはてなブックマークに追加
Pocket

前回、OpenCTIを構築し、MISPと連携するところまで実施しました。

OpenCTIを構築した後、MISPと連携させる(OpenCTIをコマンドラインから導入した場合)

そこで今回はさらに、VirusTotalとShodanを連携させてみて、OpenCTIから確認できる情報がどうかわるか確認してみました。

1.VirusTotalコネクタのインストール

MISPの時と同様に GitHubの以下のサイトから VirusTotalのdocker-compose.yml をコピーし、OpenCTIのdocker-compose.ymlに埋め込みます。

OpenCTI-Platform /connectors
https://github.com/OpenCTI-Platform/connectors/tree/master/internal-enrichment/virustotal

そして以下のコマンドを実行します。

 docker-compose up -d --build

すると以下の通り既存のコネクタを含めたアップデートとインストールが行われます。

docker-composeの更新

このあとOpenCTIのコンソールを見ると、VirusTotalが追加されていることが確認できました。

OpenCTIコンソール

shodanのコネクタについても同様の手順で行います。

2.インディケータのエンリッチメント

VirusTotalとShodanをインストールしたら、IoCを表示する画面の右端になる「エンリッチメント」のボタンを押してみました。

OpenCTIコンソール

すると右側からウィンドウがせり出してきて、VirusTotal とShodanの連携情報が表示されるようになっていました。(IoCによって出たり出なかったりするようですが。)

OpenCTIコンソール

しかしながら、それ以外の変化が見つけられなかったので、あとでもう少し調べてみようと思っています。

また今後は、cve や Miter ATT&CK とも連携させて、どんな情報が得られるようになるのか確認したいと思っています。

<参考情報>

以下のYoutubeでOpenCTIの操作方法が説明されていますので、OpenCTIでざっくりどんなことができるか知りたい人は参考になると思います。

Introduction to the OpenCTI platform(Filigran)

Related posts:

  1. OpenCTIを構築した後、MISPと連携させる(OpenCTIをコマンドラインから導入した場合)
  2. Docker上でCentOSを動かしてMacOSからファイルをコピーしてみた
  3. OpenCTI のAPIにPythonから Accessし、登録されたindicatorを表示できるか確認してみた
  4. OpenCTIのコンソールを使ってみたら、アナリスト向けの情報がまとめられた画面だった

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA