Skip to content

nikolaiav/RVisionSOARIntegration

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

9 Commits

app

app

 
 

conf

conf

 
 

.gitignore

.gitignore

 
 

Dockerfile

Dockerfile

 
 

README.md

README.md

 
 

docker-compose.yml

docker-compose.yml

 
 

requirements.txt

requirements.txt

 
 

rvisionrstintegration.service

rvisionrstintegration.service

 
 

Repository files navigation

Обогащение индикаторов в R-Vision SOAR

Принцип работы

Версии интеграции старше v2.0 работают только с кастомныеми полями с индикаторами. Системное поле iocs поддерживается в версиях < v2.0.
Интеграция работает по следующей схеме:

  • Сценарий реагирования использует Коннектор.
  • Коннектор делает GET-запрос к FastAPI-сервису, работающему в контейнере, передав ID инцидента в параметре запроса.
  • Сервис, получив запрос от Коннектора, делает запрос source полей, описанных в config.yml из инцидента через API R-Vision SOAR.
  • Получив индикаторы, Сервис запрашивает их в RST Cloud API.
  • Собрав все данные Сервис отправляет их в виде запроса на обновление заданного в конфиге поля инцидента.
  • Данные от RST Cloud добавляются в поля target конфигурационного файла config.yml

Настройка R-Vision SOAR

  1. Сгенерировать API-токен в R-Vision SOAR.
  2. Убедиться, что у пользователя, для которого создан токен, есть права на создание и изменение инцидентов.
  3. Создать новое поле инцидента в R-Vision SOAR, в котором будет храниться индикатор.
  4. Указать что данное поле имеет тим Массив.
  5. Создать следующую схему для source поля (поля, где будет храниться индикатор):
Тип: Текст
Тег: См. config.yml - source
  1. Создать следующую схему для target поля (поля, где будет храниться индикатор):
Тип: Массив
Тег: См. config.yml - target

Поля:
Тип: Текст --------------- Тег: rst_field
Тип: Многострочный текст - Тег: rst_value
  1. Создать REST-Коннектор и указать URL http://<IP>:9080/ioc?identifier={{tag.IDENTIFIER}}, метод GET, где IP - адрес расположения сервиса. Если сервис будет работать на хосте SOAR, то 127.0.0.1
  2. Выставить в коннекторе таймаут 60 сек.
  3. Переименовать conf/config.yml.sample в conf/config.yml.
  4. Вписать в config.yml адрес R-Vision SOAR и токены.

Развертывание в docker

  1. Собрать образ docker build -t rstintegration .
  2. В docker-compose.yml для volume указать расположение директорий conf и log
  3. Запустить контейнер docker-compose up -d

Развертывание в systemd

  1. Установить python 3.7
  2. Выполнить
cd /opt
git clone https://github.com/rstcloud/RVisionSOARIntegration.git
cd RVisionSOARIntegration
mkdir logs
mv conf/config.yml.sample conf/config.yml
cp rvisionrstintegration.service /etc/systemd/system/
  1. Отредактировать conf/config.yml
  2. systemctl enable rvisionrstintegration
  3. systemctl start rvisionrstintegration

About

Enrich IOCs from R-Vision SOAR incidents with RST Threat Feed data

Resources

Readme
Activity

Stars

0 stars

Watchers

2 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Languages