[PYTHON] Versuchen Sie, libtaxii zu berühren

Auslösen

Ich habe die Möglichkeit, bei der Arbeit mit Stix-Dokumenten zu arbeiten, um sie besser zu verstehen Berühren wir es zunächst, um den Inhalt der Daten mit der Client-Seite zu untersuchen.

Umgebung

• Die lokale Umgebung ist wie folgt.

% sw_vers     
ProductName:	Mac OS X
ProductVersion:	10.11.6
BuildVersion:	15G1217

% python -V
Python 2.7.13

% pip -V
pip 9.0.1 from /usr/local/lib/python2.7/site-packages (python 2.7)

% pip show libtaxii
Name: libtaxii
Version: 1.1.110
Summary: TAXII Library.
Home-page: http://taxii.mitre.org/
Author: Mark Davidson
Author-email: [email protected]
License: UNKNOWN
Location: /usr/local/lib/python2.7/site-packages
Requires: six, lxml, python-dateutil

• Der Taxii-Server verwendet Folgendes.

Hail a TAXII.com ( http://hailataxii.com ) Die Demomethode wird unten beschrieben. Hailataxii and Libtaxii Demo ( https://github.com/STIXProject/schemas/wiki/Hailataxii-and-Libtaxii-Demo )

Verfahren zur Erfassung von Stix-Dokumenten

1. Überprüfen Sie die auf der Serverseite verwalteten Dienste

Welche Dienste sind auf dem Server verfügbar? Ich möchte bestätigen. Wenn Sie Hail a TAXII.com besuchen, finden Sie folgende Informationen:

· Auf unsere Daten kann über das TAXII-HTTP-Nachrichtenprotokoll zugegriffen werden. (1.0 & 1.1) ・ Der Erkennungsdienst befindet sich unter http://hailataxii.com/taxii-discovery-service ・ Anonyme Verbindungen werden akzeptiert. · Clients, die Anmeldedaten benötigen, können HTTP-Basic user = guest, password = guest verwenden.

Stellen Sie anhand der oben genannten Informationen eine Verbindung zum Server her, um den entsprechenden Dienst zu überprüfen.

```
% discovery_client --host hailataxii.com --path /taxii-discovery-service --username guest --pass guest
Request:

Message Type: Discovery_Request
Message ID: 7418183229071165630

Response:

Message Type: Discovery_Response
Message ID: 73726; In Response To: 7418183229071165630
  === Service Instance ===
Service Type: DISCOVERY
Service Version: urn:taxii.mitre.org:services:1.1
Protocol Binding: urn:taxii.mitre.org:protocol:https:1.0
Service Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
Available: True
Message: None
  === Service Instance ===
Service Type: COLLECTION_MANAGEMENT
Service Version: urn:taxii.mitre.org:services:1.1
Protocol Binding: urn:taxii.mitre.org:protocol:https:1.0
Service Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
Available: True
Message: None
  === Service Instance ===
Service Type: POLL
Service Version: urn:taxii.mitre.org:services:1.1
Protocol Binding: urn:taxii.mitre.org:protocol:https:1.0
Service Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
Available: True
Message: None
```

Zunächst sehen Sie, dass Sie auf die folgende URL zugreifen müssen, um die Daten anzuzeigen. Service Address: http://hailataxii.com:80/taxii-data

Darüber hinaus wird der folgende Inhalt oben beschrieben.

・ Servicetyp: ENTDECKUNG Der Taxii-Dienst ist für die Öffentlichkeit zugänglich.

・ Servicetyp: COLLECTION_MANAGEMENT Welche Art von gesammelten Daten verwalten Sie? Es ist möglich, den Typ zu bestätigen.

・ Servicetyp: ABRUF Es ist möglich, auf die gesammelten Daten zu verweisen.

Es ist ersichtlich, dass das oben Genannte mit diesem Server verwendet werden kann. Darüber hinaus verfügt taxii über einen Dienst namens "Posteingang", mit dem Sie Daten veröffentlichen können. Diesmal können Sie jedoch feststellen, dass dies nicht zulässig ist.

2. Überprüfen Sie den Datentyp

In Schritt 1 wurde festgestellt, dass zur Überprüfung des Datentyps auf "COLLECTION_MANAGEMENT" zugegriffen werden muss. Stellen Sie anhand der bisher gefundenen Informationen eine Verbindung zum Server her, um den nächsten Typ zu überprüfen.

```
% collection_information_client --host hailataxii.com --username guest --pass guest --path /taxii-data
Request:

Message Type: Collection_Information_Request
Message ID: 4659866494431617975

Response:

Message Type: Collection_Information_Response
Message ID: 85921; In Response To: 4659866494431617975
Contains 11 Collection Informations
=== Data Collection Information ===
Collection Name: guest.Abuse_ch
Collection Type: DATA_FEED
Available: True
Collection Description: guest.Abuse_ch
Supported Content:     urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
  Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
  Poll Address: http://hailataxii.com:80/taxii-data
  Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================

=== Data Collection Information ===
Collection Name: guest.CyberCrime_Tracker
Collection Type: DATA_FEED
Available: True
Collection Description: guest.CyberCrime_Tracker
Supported Content:     urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
  Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
  Poll Address: http://hailataxii.com:80/taxii-data
  Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================

=== Data Collection Information ===
Collection Name: guest.EmergineThreats_rules
Collection Type: DATA_FEED
Available: True
Collection Description: guest.EmergineThreats_rules
Supported Content:     urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
  Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
  Poll Address: http://hailataxii.com:80/taxii-data
  Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================

=== Data Collection Information ===
Collection Name: guest.EmergingThreats_rules
Collection Type: DATA_FEED
Available: True
Collection Description: guest.EmergingThreats_rules
Supported Content:     urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
  Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
  Poll Address: http://hailataxii.com:80/taxii-data
  Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================

=== Data Collection Information ===
Collection Name: guest.Lehigh_edu
Collection Type: DATA_FEED
Available: True
Collection Description: guest.Lehigh_edu
Supported Content:     urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
  Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
  Poll Address: http://hailataxii.com:80/taxii-data
  Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================

=== Data Collection Information ===
Collection Name: guest.MalwareDomainList_Hostlist
Collection Type: DATA_FEED
Available: True
Collection Description: guest.MalwareDomainList_Hostlist
Supported Content:     urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
  Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
  Poll Address: http://hailataxii.com:80/taxii-data
  Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================

=== Data Collection Information ===
Collection Name: guest.blutmagie_de_torExits
Collection Type: DATA_FEED
Available: True
Collection Description: guest.blutmagie_de_torExits
Supported Content:     urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
  Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
  Poll Address: http://hailataxii.com:80/taxii-data
  Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================

=== Data Collection Information ===
Collection Name: guest.dataForLast_7daysOnly
Collection Type: DATA_FEED
Available: True
Collection Description: guest.dataForLast_7daysOnly
Supported Content:     urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
  Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
  Poll Address: http://hailataxii.com:80/taxii-data
  Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================

=== Data Collection Information ===
Collection Name: guest.dshield_BlockList
Collection Type: DATA_FEED
Available: True
Collection Description: guest.dshield_BlockList
Supported Content:     urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
  Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
  Poll Address: http://hailataxii.com:80/taxii-data
  Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================

=== Data Collection Information ===
Collection Name: guest.phishtank_com
Collection Type: DATA_FEED
Available: True
Collection Description: guest.phishtank_com
Supported Content:     urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
  Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
  Poll Address: http://hailataxii.com:80/taxii-data
  Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================

=== Data Collection Information ===
Collection Name: system.Default
Collection Type: DATA_FEED
Available: True
Collection Description: system.Default
Supported Content:     urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
  Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
  Poll Address: http://hailataxii.com:80/taxii-data
  Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================
```

Dieser Server bietet 10 Datentypen (1 Typduplikat). Sie können den Datentyp "Sammlungsname" und das Referenzziel "Abfrageadresse" der Typdaten sehen.

・ Sammlungsname: guest.Abuse_ch Poll Address: http://hailataxii.com:80/taxii-data

・ Sammlungsname: guest.CyberCrime_Tracker Poll Address: http://hailataxii.com:80/taxii-data

・ Sammlungsname: guest.EmergineThreats_rules Poll Address: http://hailataxii.com:80/taxii-data

・ Sammlungsname: guest.Lehigh_edu Poll Address: http://hailataxii.com:80/taxii-data

-Collection Name: guest.MalwareDomainList_Hostlist Poll Address: http://hailataxii.com:80/taxii-data

・ Sammlungsname: guest.blutmagie_de_torExits Poll Address: http://hailataxii.com:80/taxii-data

・ Sammlungsname: guest.dataForLast_7daysOnly Poll Address: http://hailataxii.com:80/taxii-data

・ Sammlungsname: guest.dshield_BlockList Poll Address: http://hailataxii.com:80/taxii-data

・ Sammlungsname: guest.phishtank_com Poll Address: http://hailataxii.com:80/taxii-data

・ Sammlungsname: system.Default Poll Address: http://hailataxii.com:80/taxii-data

3. Beziehen Sie sich tatsächlich auf die Daten

Wir konnten den Datentyp in 1. und das Referenzziel der Daten in 2 bestätigen. Lassen Sie uns nun die Daten abrufen.

• Wenn Sie den folgenden Befehl ausführen, werden viele Daten in das aktuelle Verzeichnis heruntergeladen. Seien Sie also vorsichtig, wo Sie sie erhalten.

  % poll_client --host hailataxii.com --username guest --pass guest --path /taxii-data --collection guest.Abuse_ch
  Request:
  
  Message Type: Poll_Request
  Message ID: 7016854206412201300
  Collection Name: guest.Abuse_ch
  Excl. Begin TS Label: None
  Incl. End TS Label: None
  === Poll_Parameters ===
  Response type: FULL
  
  Response:
  
  Message Type: Poll_Response
  Message ID: 3510; In Response To: 7016854206412201300
  Collection Name: guest.Abuse_ch
  More: False
  Result ID: None
  Result Part Num: 1
  Incl. End TS Label: 2017-03-27T14:11:06.739630+00:00
  === Content Block ===
  Content Binding: urn:stix.mitre.org:xml:1.1.1
  Content length: 4462
  (Content not printed for brevity)
  Timestamp Label: 2017-03-27 14:11:06.959883+00:00
  Message: None
  Padding: None
  .
  . (Inhaltsinformationen)
  .
  File created: guest.Abuse_ch_STIX111_t2017_03_27T14_11_06_959883_00_00.xml
  .
  . (Inhaltsdatei erstellt)
  .
  

Die Daten wurden tatsächlich heruntergeladen und 14.390 Dateien erstellt. Das nächste Mal möchte ich den Inhalt jedes Befehls und der Inhaltsdatei überprüfen.

Referenzseite

• Hail a TAXII.com : http://hailataxii.com

• libtaxii : https://github.com/TAXIIProject/libtaxii

• Hailataxii and Libtaxii Demo : https://github.com/STIXProject/schemas/wiki/Hailataxii-and-Libtaxii-Demo

--Verfahren für den automatischen Austausch von Erkennungsindexinformationen TAXII Übersicht: https://www.ipa.go.jp/security/vuln/TAXII.html