DomainTools虹膜集成TheHive和Cortex
安装DomainTools虹膜App
先决条件
- Cortexutils -https://github.com/TheHive-Project/cortexutils
- domaintools_api -https://github.com/DomainTools/python_api
- python_version <“3.5”
- DomainTools API密匙
- 部署脚本(可选)——待定
- 分析器和响应器(用于手动部署)-待定
部署应用程序
按照以下步骤在本地环境中安装Integration组件:
- SSH到Cortex实例
- 部署脚本(在先决条件中列出)自动克隆和部署组件。要运行脚本,请执行以下命令:
./hc_setup.sh
- 如果自动化脚本运行成功,请跳过此步骤。否则,您可以按照以下步骤手动安装:
- 将目录更改为Cortex Analyzer主页:
cd / opt / Cortex-Analyzers /分析仪
- 为DomainTools创建文件夹:
mkdir DomainToolsIris
- 导入分析器:将下载的分析器复制到Analyzer主目录中
/ opt / Cortex-Analyzers /分析/ < foldername >
- 进口报告模板:
将报表模板复制到Cortex模板主目录:cp -af ~/cortex/thehive-templates/DomainToolsIris* /opt/ cortex - analyzers /thehive-templates . /
- 进口急救员(可选):
将响应器复制到响应器主目录cp -af ~/cortex/responders/DomainToolsIris* /opt/ cortex - analyzers /responders
- 将目录更改为Cortex Analyzer主页:
配置应用程序
- 登录到Cortex实例
- 选择合适的组织(可选)->单击“Analyzers Config”
- 搜索“DomainToolsIris”→点击编辑
- 更新分析仪配置如下:
用户名:DomainTools虹膜API凭证
密钥:DomainTools虹膜API证书
pivot_count_threshold:枢轴计数阈值。(默认:500)
- 更新分析仪配置如下:
- 单击' Responders Config '更新Responder配置。
- 更新以下值:
- 风险评分阈值
- 标签
- 更新以下值:
- 按以下方式启用两个分析器:
- 压倒一切的缓存设置:
如果您想使用默认的Cache设置,这是一个可选步骤。“使用全局”设置使用组织在Cortex中配置的任何东西。您可以将该设置重写为自定义值。设置一个较低的值将允许您绕过缓存并从DomainTools检索更新的情报数据。
测试设置
有两种方法可以验证应用程序的设置。你可以根据自己的喜好使用其中任何一种:
- 从顶部菜单单击分析器->筛选DomainToolsIris ->识别' domaintoolsiris_surveate_1_0 ' ->单击运行。
- 或者,您可以使用菜单左上角的新分析
您将看到下面的屏幕。完成标记为必填项的字段,然后单击“开始”
- 你可以通过点击' Job History '来验证结果,并过滤你在上一步中提供的Observable:
