问题标签 [taxii]

我刚刚从 ICS 框架的 MITRE ATT&CK 开始。按照用法示例，我可以检索其他对象，例如战术、技术等。但是，没有关于资产的示例或提示。我正在寻找一种方法来使用 Python 以编程方式检索 ICS 域中的所有资产（在此处显示）。以下是我现在所做的。

配置/config.py

主文件

如果我打印所有内容，我将找不到任何对 ICS 资产的引用。这不能使用 TAXII 服务器吗？如果是这样，我可以从其他地方获得这些资产的 JSON 吗？

所以我正在尝试导入一个taxii2client 服务器，但它没有识别任何东西。我已经检查并正确安装了 python，我尝试了文件位置的绝对路径，我尝试重新安装所有内容，但我不禁觉得我错过了一些明显的东西。请记住，我只是从 python 开始。我目前在我的程序中拥有的唯一代码只是一个导入：

“从taxii2client.v20 导入服务器”

我目前的问题是我无法使用终端命令通过 cabby 客户端推送 STIX 数据。抱歉标记不佳，但我没有足够的声誉来创建 MISP 或 cabby 标记。

到目前为止，我有一个本地 MISP 实例正在运行和工作，并且我安装了到目前为止也可以工作的 cabby 客户端。或者至少当我将 STIX 数据从像 hailataxii 这样的 TAXII 服务器拉到我的硬盘驱动器时。但是每次我尝试通过 cabby cli 命令将这些数据从我的硬盘驱动器推送到我的 MISP 实例时，我都会收到错误消息。

这是我使用的命令：

这是我得到的错误：

我认为在这个错误日志中有两件事很重要：

HTTP 错误：状态代码 403 <--- 所以我不允许

身份验证失败。请确保您在授权标头中传递启用 API 的用户的 API 密钥。<---- 以及为什么我不被允许

进一步澄清。我的 MISP 实例没有经过 https 加密，因此暂时可以忽略警告。到目前为止，我尝试的是创建一个 MISP 也拒绝的新 API 密钥。我创建了一个新的管理员用户，但 MISP 也拒绝了它。我尝试了几种不同的方法来传递标头中的 api 密钥，但也没有成功。

也许有人知道我的错误是什么。我期待着你的回答亲切的陌生人。这玩意快把我逼疯了^^

亲切的问候，德威利旺卡

好的，这基本上是一个关于如何开始我目前正在做的关于威胁情报的个人项目的问题。情况是，我有一个启动并运行的 MISP 实例（https://github.com/MISP/MISP）。它包含大量 TI，但它位于保存环境中，因此不应直接暴露在互联网上。所以我想做的是安装和配置远程 Stix/Taxii 服务器（如https://github.com/eclecticiq/OpenTAXII）。它应该连接到 MISP 实例，以便信息可以从 MISP 实例传递到 OpenTaxii 服务器。（如果为此目的有到 MISP 的传出和传入连接就可以了）另一方面，它应该让人们有可能连接到 Taxii 服务器并将其数据轮询到他们获得的任何 stix1.1 支持设备。示例是执行自动 Stix 导入的 Splunk 实例。

我想要完成的一个很好的例子是：http ://hailataxii.com/

可悲的是，我找不到一个好的入门方法，因为 OpenTaxii Docu 主要关注“如何安装”而不是“如何使用”……不过我对 python 比较流利，所以如果需要脚本将数据从 MISP 导出到 Taxii 服务器我可能能够做到这一点。任何人都可以指出一条路吗？