J'ai l'opportunité de travailler avec des documents stix au travail, pour mieux comprendre Tout d'abord, touchons-le pour étudier le contenu des données côté client.
% sw_vers
ProductName: Mac OS X
ProductVersion: 10.11.6
BuildVersion: 15G1217
% python -V
Python 2.7.13
% pip -V
pip 9.0.1 from /usr/local/lib/python2.7/site-packages (python 2.7)
% pip show libtaxii
Name: libtaxii
Version: 1.1.110
Summary: TAXII Library.
Home-page: http://taxii.mitre.org/
Author: Mark Davidson
Author-email: [email protected]
License: UNKNOWN
Location: /usr/local/lib/python2.7/site-packages
Requires: six, lxml, python-dateutil
Hail a TAXII.com ( http://hailataxii.com ) La méthode de démonstration est décrite ci-dessous. Hailataxii and Libtaxii Demo ( https://github.com/STIXProject/schemas/wiki/Hailataxii-and-Libtaxii-Demo )
Tout d'abord, quels types de services sont disponibles sur le serveur? Je veux confirmer. Si vous visitez Hail a TAXII.com, vous trouverez les informations suivantes:
· Nos données sont accessibles via le protocole de message TAXII-HTTP. (1.0 & 1.1) ・ Le service de découverte se trouve à l'adresse http://hailataxii.com/taxii-discovery-service ・ Les connexions anonymes sont acceptées. · Les clients qui nécessitent des informations de connexion peuvent utiliser HTTP-Basic user = guest, password = guest.
Sur la base des informations ci-dessus, connectez-vous au serveur pour vérifier le service correspondant.
```
% discovery_client --host hailataxii.com --path /taxii-discovery-service --username guest --pass guest
Request:
Message Type: Discovery_Request
Message ID: 7418183229071165630
Response:
Message Type: Discovery_Response
Message ID: 73726; In Response To: 7418183229071165630
=== Service Instance ===
Service Type: DISCOVERY
Service Version: urn:taxii.mitre.org:services:1.1
Protocol Binding: urn:taxii.mitre.org:protocol:https:1.0
Service Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
Available: True
Message: None
=== Service Instance ===
Service Type: COLLECTION_MANAGEMENT
Service Version: urn:taxii.mitre.org:services:1.1
Protocol Binding: urn:taxii.mitre.org:protocol:https:1.0
Service Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
Available: True
Message: None
=== Service Instance ===
Service Type: POLL
Service Version: urn:taxii.mitre.org:services:1.1
Protocol Binding: urn:taxii.mitre.org:protocol:https:1.0
Service Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
Available: True
Message: None
```
Tout d'abord, vous pouvez voir que vous devez accéder à l'URL suivante pour voir les données.
Service Address: http://hailataxii.com:80/taxii-data
En plus de cela, le contenu suivant est décrit ci-dessus.
・ Type de service: DÉCOUVERTE Le service Taxii est ouvert au public.
・ Type de service: COLLECTION_MANAGEMENT Quel type de données accumulées gérez-vous? Il est possible de confirmer le type.
・ Type de service: POLL Il est possible de se référer aux données accumulées.
On peut voir que ce qui précède peut être utilisé avec ce serveur. En plus de ce qui précède, taxii dispose également d'un service appelé «Boîte de réception» qui vous permet de publier des données, mais vous pouvez voir que cette fois, ce n'est pas autorisé.
En 1., il a été trouvé que pour vérifier le type de données, accédez à COLLECTION_MANAGEMENT.
Sur la base des informations trouvées jusqu'à présent, connectez-vous au serveur pour vérifier le type suivant.
```
% collection_information_client --host hailataxii.com --username guest --pass guest --path /taxii-data
Request:
Message Type: Collection_Information_Request
Message ID: 4659866494431617975
Response:
Message Type: Collection_Information_Response
Message ID: 85921; In Response To: 4659866494431617975
Contains 11 Collection Informations
=== Data Collection Information ===
Collection Name: guest.Abuse_ch
Collection Type: DATA_FEED
Available: True
Collection Description: guest.Abuse_ch
Supported Content: urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
Poll Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================
=== Data Collection Information ===
Collection Name: guest.CyberCrime_Tracker
Collection Type: DATA_FEED
Available: True
Collection Description: guest.CyberCrime_Tracker
Supported Content: urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
Poll Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================
=== Data Collection Information ===
Collection Name: guest.EmergineThreats_rules
Collection Type: DATA_FEED
Available: True
Collection Description: guest.EmergineThreats_rules
Supported Content: urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
Poll Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================
=== Data Collection Information ===
Collection Name: guest.EmergingThreats_rules
Collection Type: DATA_FEED
Available: True
Collection Description: guest.EmergingThreats_rules
Supported Content: urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
Poll Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================
=== Data Collection Information ===
Collection Name: guest.Lehigh_edu
Collection Type: DATA_FEED
Available: True
Collection Description: guest.Lehigh_edu
Supported Content: urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
Poll Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================
=== Data Collection Information ===
Collection Name: guest.MalwareDomainList_Hostlist
Collection Type: DATA_FEED
Available: True
Collection Description: guest.MalwareDomainList_Hostlist
Supported Content: urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
Poll Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================
=== Data Collection Information ===
Collection Name: guest.blutmagie_de_torExits
Collection Type: DATA_FEED
Available: True
Collection Description: guest.blutmagie_de_torExits
Supported Content: urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
Poll Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================
=== Data Collection Information ===
Collection Name: guest.dataForLast_7daysOnly
Collection Type: DATA_FEED
Available: True
Collection Description: guest.dataForLast_7daysOnly
Supported Content: urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
Poll Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================
=== Data Collection Information ===
Collection Name: guest.dshield_BlockList
Collection Type: DATA_FEED
Available: True
Collection Description: guest.dshield_BlockList
Supported Content: urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
Poll Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================
=== Data Collection Information ===
Collection Name: guest.phishtank_com
Collection Type: DATA_FEED
Available: True
Collection Description: guest.phishtank_com
Supported Content: urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
Poll Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================
=== Data Collection Information ===
Collection Name: system.Default
Collection Type: DATA_FEED
Available: True
Collection Description: system.Default
Supported Content: urn:stix.mitre.org:xml:1.0
=== Polling Service Instance ===
Poll Protocol: urn:taxii.mitre.org:protocol:https:1.0
Poll Address: http://hailataxii.com:80/taxii-data
Message Binding: urn:taxii.mitre.org:message:xml:1.1
==================================
```
Ce serveur fournit 10 types de données (1 type en double). Vous pouvez voir respectivement le type de données «Nom de la collection» et la destination de référence «Adresse d'interrogation» du type de données.
・ Nom de la collection: guest.Abuse_ch Poll Address: http://hailataxii.com:80/taxii-data
・ Nom de la collection: guest.CyberCrime_Tracker Poll Address: http://hailataxii.com:80/taxii-data
・ Nom de la collection: guest.EmergineThreats_rules Poll Address: http://hailataxii.com:80/taxii-data
・ Nom de la collection: guest.Lehigh_edu Poll Address: http://hailataxii.com:80/taxii-data
-Nom de la collection: guest.MalwareDomainList_Hostlist Poll Address: http://hailataxii.com:80/taxii-data
・ Nom de la collection: guest.blutmagie_de_torExits Poll Address: http://hailataxii.com:80/taxii-data
・ Nom de la collection: guest.dataForLast_7daysOnly Poll Address: http://hailataxii.com:80/taxii-data
・ Nom de la collection: guest.dshield_BlockList Poll Address: http://hailataxii.com:80/taxii-data
・ Nom de la collection: guest.phishtank_com Poll Address: http://hailataxii.com:80/taxii-data
・ Nom de la collection: système. Poll Address: http://hailataxii.com:80/taxii-data
Nous avons pu confirmer le type de données en 1. et la destination de référence des données en 2. Maintenant, récupérons les données.
Lorsque vous exécutez la commande suivante, beaucoup de données seront téléchargées dans le répertoire actuel, alors faites attention à l'endroit où vous les obtenez.
% poll_client --host hailataxii.com --username guest --pass guest --path /taxii-data --collection guest.Abuse_ch
Request:
Message Type: Poll_Request
Message ID: 7016854206412201300
Collection Name: guest.Abuse_ch
Excl. Begin TS Label: None
Incl. End TS Label: None
=== Poll_Parameters ===
Response type: FULL
Response:
Message Type: Poll_Response
Message ID: 3510; In Response To: 7016854206412201300
Collection Name: guest.Abuse_ch
More: False
Result ID: None
Result Part Num: 1
Incl. End TS Label: 2017-03-27T14:11:06.739630+00:00
=== Content Block ===
Content Binding: urn:stix.mitre.org:xml:1.1.1
Content length: 4462
(Content not printed for brevity)
Timestamp Label: 2017-03-27 14:11:06.959883+00:00
Message: None
Padding: None
.
. (Informations sur le contenu)
.
File created: guest.Abuse_ch_STIX111_t2017_03_27T14_11_06_959883_00_00.xml
.
. (Fichier de contenu créé)
.
Les données ont été effectivement téléchargées et 14 390 fichiers ont été créés. La prochaine fois, j'aimerais vérifier le contenu de chaque commande et le fichier de contenu.
Hail a TAXII.com : http://hailataxii.com
libtaxii : https://github.com/TAXIIProject/libtaxii
Hailataxii and Libtaxii Demo : https://github.com/STIXProject/schemas/wiki/Hailataxii-and-Libtaxii-Demo
--Procédure d'échange automatique des informations d'index de détection TAXII Vue d'ensemble: https://www.ipa.go.jp/security/vuln/TAXII.html