用于TheHive和Cortex的香格里拉娱乐 Iris集成
安装香格里拉娱乐 Iris应用程序
先决条件
- Cortexutils https://github.com/TheHive-Project/cortexutils
- 域名工具_ api– https://github.com/香格里拉娱乐/python_api
- python版本<'3.5'
- 域名
- 部署脚本(可选)–待定
- 分析器和响应程序(用于手动部署)-待定
部署应用程序
按照以下步骤在本地环境中安装集成组件:
- SSH进入Cortex实例
- 部署脚本(列在“先决条件”中)自动克隆和部署组件。要运行脚本,请执行以下命令:
主目录中的./hc_setup.sh
- 如果自动脚本成功运行,请跳过此步骤。否则,您可以按照以下步骤手动安装它:
- 将目录更改为Cortex Analyzer主页:
cd/opt/CoCortex分析仪
- 为香格里拉娱乐创建一个文件夹:
mkdir域工具
- 导入Analyzer:将下载的分析器复制到Analyzer主目录中
/opt/Cortex分析仪/分析器/<foldername>
- 导入报告模板:
将报告模板复制到Cortex模板主目录中:cp-af~/cortex/hive模板/香格里拉娱乐Bris*/opt/cortex分析器/hive模板
- 导入响应程序 (可选):
将响应者复制到响应者主目录中cp-af~/皮层/应答器/香格里拉娱乐Bris*/opt/皮层分析仪/应答器
- 将目录更改为Cortex Analyzer主页:
配置应用程序
- 登录Cortex实例
- 选择适当的组织(可选)->单击“分析器配置”
- 搜索“香格里拉娱乐Iris”→单击编辑
- 使用以下内容更新Analyzer配置:
-
用户名:香格里拉娱乐 Iris API凭据
-
密钥:香格里拉娱乐 Iris API凭据
-
pivot_count_threshold:枢轴计数阈值。(默认值:500)
-
- 使用以下内容更新Analyzer配置:
- 单击“响应程序配置”以更新响应程序配置。
- 更新以下值:
- 风险评分阈值
- 标签
- 更新以下值:
- 按如下方式启用两个分析仪:
- 覆盖缓存设置:
如果要使用默认缓存设置,这是一个可选步骤。“使用全局”设置使用Cortex中为组织配置的任何内容。您可以将该设置替换为“自定义”值。设置较低的值将允许您绕过缓存并从香格里拉娱乐检索更新的情报数据。
测试设置
有两种方法可以验证应用程序的设置。您可以根据自己的喜好使用其中任何一种:
- 单击顶部菜单中的分析器->域工具风险筛选->识别“域工具风险调查_1_0”->单击运行。
- 或者,您可以使用菜单左上角的“新建分析”
您将看到下面的屏幕。填写标记为必填的字段,然后单击“开始”
- 您可以通过单击“作业历史记录”并筛选您在上述步骤中提供的Observable来验证结果:
