OpenCTI 是一个开源的网络威胁情报平台,帮助组织管理其网络威胁情报知识和可观察数据。
目标:构建、存储、组织和可视化关于网络威胁的技术和非技术信息。OpenCTI的数据围绕 STIX2.1标准的知识模式结构化。
https://docs.oasis-open.org/cti/stix/v2.1/stix-v2.1.html #STIX2.1
为方便上手,这里采用docker方式进行安装,环境是Centos 7
https://github.com/OpenCTI-Platform/docker首先安装docker&docker-compose
yum install -y yum-utils device-mapper-persistent-data lvm2 gitcurl -sSL https://get.daocloud.io/docker | shsudo systemctl daemon-reloadsudo systemctl restart dockercurl -L https://get.daocloud.io/docker/compose/releases/download/v2.1.1/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-composechmod +x /usr/local/bin/docker-composesudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
验证docker及docker-compose的安装,成功输出版本号即为安装无问题
docker versiondocker-compose version
下载最新的OpenCTI
git clone https://github.com/OpenCTI-Platform/docker.gitcd docker
配置环境,有两种方式:
-
配置docker-compose.yml
-
配置环境变量,(这里采取更方便的配置环境变量)
yum install -y jq批量写入需要修改的数据,注意修改密码
(cat <<EOFOPENCTI_ADMIN_EMAIL=admin@opencti.ioOPENCTI_ADMIN_PASSWORD=PLEASECHANGEMEOPENCTI_ADMIN_TOKEN=$(cat /proc/sys/kernel/random/uuid)MINIO_ROOT_USER=$(cat /proc/sys/kernel/random/uuid)MINIO_ROOT_PASSWORD=$(cat /proc/sys/kernel/random/uuid)RABBITMQ_DEFAULT_USER=guestRABBITMQ_DEFAULT_PASS=guestCONNECTOR_HISTORY_ID=$(cat /proc/sys/kernel/random/uuid)CONNECTOR_EXPORT_FILE_STIX_ID=$(cat /proc/sys/kernel/random/uuid)CONNECTOR_EXPORT_FILE_CSV_ID=$(cat /proc/sys/kernel/random/uuid)CONNECTOR_IMPORT_FILE_STIX_ID=$(cat /proc/sys/kernel/random/uuid)CONNECTOR_IMPORT_REPORT_ID=$(cat /proc/sys/kernel/random/uuid)EOF) > .env
注意要修改掉上面的账号密码
调整内存参数,因为ES比较...
echo "vm.max_map_count=1048575" >> /etc/sysctl.conf镜像较多,拉取时间较长,请耐心等待
docker-compose pulldocker-compose up -d
没啥报错的话就是成功了,然后访问http://IP:8080
使用.env中的账号密码登录即可,新版语言也是支持简体中文的
这里OPENCTI就搭建完成了,关于后续使用有空再更
原文始发于微信公众号(无界信安):威胁情报平台OpenCTI的搭建
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论