我刚刚从 ICS 框架的 MITRE ATT&CK 开始。按照用法示例,我可以检索其他对象,例如战术、技术等。但是,没有关于资产的示例或提示。我正在寻找一种方法来使用 Python 以编程方式检索 ICS 域中的所有资产(在此处显示)。以下是我现在所做的。
配置/config.py
MITRE_ATTACK_TAXII_SERVER = "https://cti-taxii.mitre.org/taxii"
主文件
from taxii2client.v20 import Server, ApiRoot, Collection
from stix2 import TAXIICollectionSource, Filter
from stix2.v20 import AttackPattern, Malware, CourseOfAction, IntrusionSet
from configuration.config import MITRE_ATTACK_TAXII_SERVER
# Instantiate server and get API Root
server = Server(MITRE_ATTACK_TAXII_SERVER)
api_root: ApiRoot = server.api_roots[0]
# Isolate each collection
pre_attack: Collection = next(filter(lambda c: c.title == "PRE-ATT&CK", api_root.collections), None)
enterprise_attack: Collection = next(filter(lambda c: c.title == "Enterprise ATT&CK", api_root.collections), None)
mobile_attack: Collection = next(filter(lambda c: c.title == "Mobile ATT&CK", api_root.collections), None)
ics_attack: Collection = next(filter(lambda c: c.title == "ICS ATT&CK", api_root.collections), None)
# Navigate ICS Collection
ics_source: TAXIICollectionSource = TAXIICollectionSource(ics_attack)
# print("All")
# for value in ics_source.query():
# print(value)
如果我打印所有内容,我将找不到任何对 ICS 资产的引用。这不能使用 TAXII 服务器吗?如果是这样,我可以从其他地方获得这些资产的 JSON 吗?