centos7搭建OpenCTI平台教程【完整无坑版】

已于 2022-03-31 19:34:19 修改
阅读量2.3k 收藏 8
点赞数
文章标签: linux centos
于 2022-03-31 19:32:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40263219/article/details/123866396
版权

前言:关于OpenCTI的简介就不相信说明了,本篇重点在搭建环节。之前调研过OpenCTI平台一段时间,但是建立在官网的demo体验之上,最近抽出一些时间自己搭建了OpenCTI平台,整个搭建过程没有花费太多时间,搭建步骤及遇到的问题及解决办法总结如下,希望能对大家的入门提供一些力所能及的帮助。

一、四种部署方式

官网提供了四种部署方式,详情请参考官方文档

  • 虚拟机
  • docker部署(对容器进行了很好的管理,部署更方便,强烈推荐此方式)
  • 云部署
  • 手动部署(不推荐,坑太多)

二、部署环境

  • Linux系统:CentOS Linux release 7.2.1511 (Core)
  • 1 核CPU(Linux命令:cat /proc/cpuinfo| grep “cpu cores”| uniq
  • 16个物理CPU (Linux命令:cat /proc/cpuinfo| grep “physical id”| sort| uniq| wc -l
  • 32G内存(Linux命令:cat /proc/meminfo
  • 536G硬盘(Linux命令:fdisk -l | grep Disk
  • docker版本:Docker version 17.12.0-ce, build c97c6d6
  • docker-compose版本:Docker Compose version v2.1.1

三、部署步骤

  1. 安装需要的包
yum install -y yum-utils device-mapper-persistent-data lvm2 git
  1. 安装docker
  • 下载docker
curl -sSL https://get.daocloud.io/docker | sh
  • 启动docker
sudo systemctl daemon-reload
sudo systemctl restart docker
  • 验证docker是否安装成功
docker -v
  1. 安装docker-compose
  • 下载docker-compose
curl -L https://get.daocloud.io/docker/compose/releases/download/v2.1.1/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose
  • 修改docker-compose文件夹权限
chmod +x /usr/local/bin/docker-compose
  • 建立链接
sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
  • 验证docker-compose是否安装成功
docker-compose -v
  • 下载OpenCTI
  • 创建一个openCTI文件夹如/home/open_cti/
  • 进入/home/open_cti/,然后下载OpenCTI
cd /home/open_cti/
git clone https://github.com/OpenCTI-Platform/docker.git
  1. 配置环境变量参数
  • 通过jq工具配置环境变量,下载jq
yum install -y jq
  • 出现的问题及解决方式
    出现的问题无法下载jq,Error: Nothing to do
    解决的方法
    (1)下载epel-release:yum install epel-release
    (2)修改/etc/yum.repos.d/epel.repo,将enabled =0修改为enabled=1
  1. 批量写入待修改的数据
(cat <<EOF
OPENCTI_ADMIN_EMAIL=admin@opencti.io
OPENCTI_ADMIN_PASSWORD=PLEASECHANGEME
OPENCTI_ADMIN_TOKEN=$(cat /proc/sys/kernel/random/uuid)
MINIO_ROOT_USER=$(cat /proc/sys/kernel/random/uuid)
MINIO_ROOT_PASSWORD=$(cat /proc/sys/kernel/random/uuid)
RABBITMQ_DEFAULT_USER=guest
RABBITMQ_DEFAULT_PASS=guest
CONNECTOR_HISTORY_ID=$(cat /proc/sys/kernel/random/uuid)
CONNECTOR_EXPORT_FILE_STIX_ID=$(cat /proc/sys/kernel/random/uuid)
CONNECTOR_EXPORT_FILE_CSV_ID=$(cat /proc/sys/kernel/random/uuid)
CONNECTOR_IMPORT_FILE_STIX_ID=$(cat /proc/sys/kernel/random/uuid)
CONNECTOR_IMPORT_REPORT_ID=$(cat /proc/sys/kernel/random/uuid)
EOF
) > .env

注意:修改以下两个参数

OPENCTI_ADMIN_EMAIL=登录账户邮箱
OPENCTI_ADMIN_PASSWORD=登录账户密码
  1. 使配置生效
source .env
  1. 由于ES对内存要求较高,因此需要调整机器内存参数
echo "vm.max_map_count=1048575" >> /etc/sysctl.conf
  1. docker-compse拉取镜像
docker-compose pull

注意:
在拉取镜像的过程中可能会存在问题:Error response from daemon: Get https://docker.elastic.co/v2/: x509: certificate signed by unknown authority
解决方式:
(1)获取证书信息

openssl s_client -connect docker.elastic.co:443 -showcerts

(2)拷贝证书内容,注:从-----BEGIN CERTIFICATE----- 到 -----END CERTIFICATE-----的全部内容,cert中包含两个-----BEGIN CERTIFICATE----- 和两个-----END CERTIFICATE-----,这两部分内容都要拷贝(也即以下内容全部拷贝)。
-----BEGIN CERTIFICATE-----
something…
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
something…
-----END CERTIFICATE-----
(3)在/etc/pki/ca-trust/source/anchors/目录下创建一个文件:cert.crt,将(2)中拷贝的证书信息复制到该文件中。
(4)更新证书信任

update-ca-trust

(5)重启docker【重要】

systemctl restart docker.service

如果拉取过程中没有报错就可以继续执行下一步了。

  1. docker-compose启动。
docker-compose up -d
  1. 如果没有报错则可以访问到oencti登录页http://IP:8080。
  • 登录账号:.env中的OPENCTI_ADMIN_EMAIL对应的值(admin@opencti.io)
  • 登录密码:env中的OPENCTI_ADMIN_PASSWORD对应的值(如admin)
    在这里插入图片描述
  1. 目前没有显示数据,通过添加一些外部连接器,可以接入外部数据。以
    AlienVault连接器为例。
  • 登录AlienVault,获取AlienVault分配给用户的API KEY。
    在这里插入图片描述
  • 获取CONNECTOR_ID,通过在线方式生成UUID。
  • 修改docker-compose.yml文件,添加以下内容。
    注:拉取更新时间参数:ALIENVAULT_INTERVAL_SEC可以根据实际情况自定义
connector-alienvault:
    image: opencti/connector-alienvault:5.2.1
    environment:
      - OPENCTI_URL=http://opencti:8080
      - OPENCTI_TOKEN=${OPENCTI_ADMIN_TOKEN}
      - CONNECTOR_ID=自动生成的UUID
      - CONNECTOR_TYPE=EXTERNAL_IMPORT
      - CONNECTOR_NAME=AlienVault
      - CONNECTOR_SCOPE=alienvault
      - CONNECTOR_CONFIDENCE_LEVEL=15 # From 0 (Unknown) to 100 (Fully trusted)
      - CONNECTOR_UPDATE_EXISTING_DATA=false
      - CONNECTOR_LOG_LEVEL=info
      - ALIENVAULT_BASE_URL=https://otx.alienvault.com
      - ALIENVAULT_API_KEY=注册alienvault之后生成的API的KEY
      - ALIENVAULT_CREATE_OBSERVABLES=true
      - ALIENVAULT_CREATE_INDICATORS=true
      - ALIENVAULT_PULSE_START_TIMESTAMP=2020-05-01T00:00:00                  # BEWARE! Could be a lot of pulses!
      - ALIENVAULT_REPORT_TYPE=threat-report
      - ALIENVAULT_REPORT_STATUS=New
      - ALIENVAULT_GUESS_MALWARE=false                                        # Use tags to guess malware.
      - ALIENVAULT_GUESS_CVE=false                                            # Use tags to guess CVE.
      - ALIENVAULT_EXCLUDED_PULSE_INDICATOR_TYPES=FileHash-MD5,FileHash-SHA1  # Excluded Pulse indicator types.
      - ALIENVAULT_ENABLE_RELATIONSHIPS=true                                  # Enable/Disable relationship creation between SDOs.
      - ALIENVAULT_ENABLE_ATTACK_PATTERNS_INDICATES=true                      # Enable/Disable "indicates" relationships between indicators and attack patterns
      - ALIENVAULT_INTERVAL_SEC=3600
    restart: always
  1. 重新进行镜像更新和拉取。
docker-compose up -d
  1. 数据接入成功。

参考链接

[1] https://www.opencti.io/en/
[2] https://luatix.notion.site/OpenCTI-Public-Knowledge-Base-d411e5e477734c59887dad3649f20518
[3] https://mp.weixin.qq.com/s/O5g314Nc_fO_NsO3NX_ZJg
[4] https://www.uuidgenerator.net/

harry xiaoma
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
connectors:OpenCTI连接器
03-27
OpenCTI连接器 以下存储库用于存储OpenCTI连接器,以便与其他工具和应用程序进行平台集成。 要了解如何在OpenCTI上启用连接器,请阅读 。 连接器列表和状态 此存储库用于托管OpenCTI核心开发团队支持的连接器。 尽管如此,社区也正在开发许多直接与OpenCTI链接的连接器,第三方模块。 您可以在找到所有可用的连接器和插件的列表。 贡献 我们欢迎您。 我们鼓励您在开发自己的连接器之前先看看现有连接器的来源。 如果要使连接器对社区可用,请在此存储库上创建请求请求,然后我们将其集成到CI和。 执照 除非另有说明,否则连接器是在下发布的。 如果连接器由其作者根据不同的许可证发布,则与其对应的子文件夹将包含一个LICENSE文件。 关于 OpenCTI是由 , 和非营利组织合作开发的产品。
威胁情报平台OPENCTI搭建记录(二)
qq_41917456的博客
08-21 980
威胁情报平台OPENCTI搭建记录(二) windows10 ubuntu18.04子系统安装docker 安装过程网上都有就不一一讲了,在测试docker run hello-world时出错,显示: docker: Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?. See 'docker run --help'. 去百度该问...
docker login 时报x509: certificate signed by unknown authority
qq_42325147的博客
03-21 324
docker login 时报x509: certificate signed by unknown authority
OpenCTI:病历/远程医疗中心临床决策支持-开源
04-29
OpenCTI是远程医疗中心的软件,用于支持重症监护中的医疗决策。 该中心负责临床信息的管理,卫生团队成员(本地和远程)的协作以及所开展活动的协调。 该中心的协作工具允许团队成员进行互动,并共享电子病历(PEP)中的信息,以远距离协助诊断和治疗程序。 OpenCTI还与通信系统和图像存档-(PACS)集成在一起,为从远处查看和报告医学图像检查提供了一个完整的环境。 演示:http://opencti.socialrad.net用户:medico1,medico2,medico3通过:123
windows系统利用docker部署OpenCTI
CP_jerry的博客
03-14 276
window系统部署opencti
让 OpenAI 更 Open,在 ChatGPT 里自由接入数据源
为了不折腾而去折腾的那些事
05-19 974
本篇文章中,我们简单聊聊如何在 OpenAI 的 ChatGPT Web 客户端中,自由的接入和使用各种数据源。
威胁情报平台OpenCTI搭建教程
流浪法师的博客
04-01 6025
OpenCTI是一个开源平台,允许组织管理他们的网络威胁情报知识和观察结果。它的创建是为了结构化、存储、组织和可视化关于网络威胁的技术和非技术信息。
Ubuntu Docker Opencti in Vmware 23年5月成功记录
go_go_go_的博客
05-11 206
安装OpenCTI的成功记录耳
[威胁情报运营]1.安装openCTI平台
shutdown -s -t
07-18 1642
OpenCTI是一个由ANSSI(法国国家网络安全局)、CERT-EU、Luatix共同支持,用于管理网络威胁情报知识和观测运营的开源平台。 系统架构 资源需求 如果是为了测试运行效果是否符合业务需求,建议登陆官方首页提供的demo进行测试,内置测试数据,可测试的功能相对完整。 整个安装相对简单,除了平台系统之外,还需要ElasticSearch、Redis、MinIO、RabbitMQ这几个组件。总计大约需要6核、16GB内存、大于32GB磁盘空间。 服务 CPU 内存 GB 磁盘 GB
10大暗网监控工具
Spontaneous_0的博客
12-15 1087
大多数企业不需要直接进行暗网研究,但有时仍然需要通过监控工具来扫描暗网。此外,扩展检测和响应(XDR)等工具或托管检测和响应(MDR)服务通常也会采集暗网情报,以识别受感染的帐户、评估风险并为威胁分析提供上下文。一些行业,特别是政府、金融机构、知名IT安全企业或其他一些关键行业用户,在查找数据泄露证据,了解暗网攻击媒介和漏洞信息时,也可能需要通过暗网监控工具(例如数字痕迹监控和数字风险保护服务)更直接地访问暗网来获取情报。
2024年全国职业技能大赛“网络安全赛项”国赛 模块B 任务解析(超详细)_2024年全国职业院校技能大赛高职组“网络空间安全(1)
最新发布
2401_84247559的博客
04-26 369
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
opencti:开放式网络威胁情报平台
02-05
介绍 OpenCTI是一个开放源代码平台,允许组织管理其网络威胁情报知识和可观察物。 创建它是为了结构,存储,组织和可视化有关网络威胁的技术和非技术信息。 使用基于的知识模式执行数据的结构化。 它已被设计为现代的Web应用程序,包括和面向UX的前端。 另外,OpenCTI可以与其他工具和应用程序集成,例如 , , 等。 目的 目标是创建一个全面的工具,使用户可以将技术信息(例如TTP和可观察物)和非技术信息(例如建议的归因,受害者论等)大写,同时将每条信息链接到其主要来源(报告, MISP事件等),具有诸如每个信息之间的链接,首次和最后看到的日期,置信度等功能。该工具能够使用(通过)来帮助
OpenCTI开放式网络威胁情报平台
08-11
OpenCTI:开放式网络威胁情报平台
client-python:OpenCTI Python客户端
04-07
适用于Python的OpenCTI客户端 官方的OpenCTI Python客户端通过提供易于使用的方法和实用工具来帮助开发人员使用OpenCTI API。 一些OpenCTI组件也使用此客户端。 安装 要安装最新的Python客户端库,请使用pip : $ pip3 install pycti 当地发展 # Fork the current repository, then clone your fork $ git clone https://github.com/YOUR-USERNAME/client-python $ cd client-python $ git remote add upstream https://github.com/OpenCTI-Platform/client-python.git # Create a branch for your feature
connector-splunk:一个OpenCTI连接器,可从Splunk Enterprise导入事件
03-20
OpenCTI Splunk连接器 一个OpenCTI连接器,可从导入事件 该连接器获取存储在索引中的所有STIX2事件,并将它们导入到OpenCTI。有关Splunk索引的更多信息,请单击 配置 范围 Docker环境 描述 opencti_url OPENCTI_URL OpenCTI平台的URL。 opencti_token OPENCTI_TOKEN OpenCTI平台参数文件中配置的默认管理令牌。 connector_id CONNECTOR_ID 对于此连接器,有效的任意UUIDv4必须是唯一的。 connector-type CONNECTOR_TYPE 必须为EXTERNAL_IMPORT (这是连接器类型)。 connector_name CONNECTOR_NAME Splunk实例的名称,如果您有多个连接器,则可以对其进行标识。 connec
Centos7搭建主从DNS服务器的教程
09-14
主要介绍了Centos7搭建主从DNS服务器的教程,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
centos7 搭建LAMP及ftp服务器完整教程
05-08
这个教程是我通过总结尝试,花费大量时间整理出来的用于搭建LAMP环境的方法,网上有很多教程,但是都不是缺这就是缺那,也有很多教程讲得也不是很明白,对于新手来讲一脸懵逼,通过这个教程相信绝大多数朋友都可以...
CentOS7搭建KVM虚拟化平台(三种方式)
09-29
主要介绍了在CentOS7搭建KVM虚拟化平台(三种方式),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Centos7搭建Linux-Apache-PHP-Mysql环境
07-30
Centos7搭建Linux-Apache-PHP-Mysql环境
centos7 搭建openstack 云平台
05-24
搭建OpenStack云平台需要一定的系统管理和网络知识。以下是一些基本步骤: 1. 安装CentOS 7操作系统并更新 ``` yum update -y ``` 2. 添加OpenStack存储库 ``` yum install -y centos-release-openstack-{rocky,train,u} yum update -y ``` 3. 安装OpenStack包 ``` yum install -y openstack-packstack ``` 4. 使用Packstack安装OpenStack ``` packstack --allinone ``` 5. 等待安装完成并记录生成的admin用户的密码 6. 配置网络 ``` neutron net-create ext-net --router:external=True neutron subnet-create --name ext-subnet --enable_dhcp=False --allocation-pool=start=192.168.1.200,end=192.168.1.250 --gateway=192.168.1.1 ext-net 192.168.1.0/24 ``` 7. 创建虚拟机网络 ``` neutron net-create int-net neutron subnet-create --name int-subnet --dns-nameserver=8.8.8.8 int-net 10.0.0.0/24 ``` 8. 创建路由,将外部网络和内部网络连接起来 ``` neutron router-create router neutron router-gateway-set router ext-net neutron router-interface-add router int-subnet ``` 9. 创建虚拟机 ``` nova boot --flavor m1.small --image cirros --nic net-id=<int-net的ID> vm1 ``` 10. 登录到虚拟机并测试网络连接 以上步骤只是OpenStack云平台搭建的基本步骤,还需要根据实际需求进行更多配置。建议先了解OpenStack的概念和架构,再进行搭建

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值