Підлючення MISP джерела до OpenCTI виявилось досить нетрівіальною задачею. Проблема в тому, що на дату написання статті OpenCTI документація¹, в розділі Connectors надає застарілу конфігурацію для MISP коннектора. Особливість в тому, що коннектор для версій від OpenCTI 6.x був переписаний з використанням Pandic Validation v.2².

Почнемо відносно з самого початку. Для налаштування коннектору вам потрібно додати необхідні записи в файл docker-compose.yml.

# nano docker-compose.yml

В YAML файл docker compose ван треба просати настуні налаштування:

connector_misp_tpt:
    image: opencti/connector-misp:latest
    environment:
      - OPENCTI_URL=http://opencti:8080
      - OPENCTI_TOKEN=${OPENCTI_ADMIN_TOKEN}
      - CONNECTOR_ID=${CONNECTOR_MISP_TPT_ID}
      - CONNECTOR_NAME=MISP-TPT
      - CONNECTOR_SCOPE=misp
      - CONNECTOR_LOG_LEVEL=info
      - CONNECTOR_CONFIDENCE_LEVEL=75
      # --- MISP SETTINGS ---
      - MISP_URL=https://misp.the-purple.team
      - MISP_KEY=QpV47AokB3WBI69zOPwwN98znxQXG6RjaSyIS4E7
      - MISP_SSL_VERIFY=true
      # Import options
      - MISP_CREATE_REPORTS=1
      - MISP_CREATE_INDICATORS=1
      - MISP_CREATE_OBSERVABLES=1
      - MISP_IMPORT_ONLY_PUBLISHED=0
      - MISP_IMPORT_TO_IDS_NO_SCORE=0
      # Filters
      - MISP_IMPORT_FROM_DATE=2025-01-01
      - MISP_IMPORT_TAGS=
      - MISP_IMPORT_CREATOR_ORGS=
      # Misc
      - MISP_REPORT_DESCRIPTION_ATTRIBUTE=true
    restart: always

Розглянемо детально кожен параметр з конфігурації. Конфігурацію коннектора можна розбити на 2 блоки: загальні параметри та параметри MISP.

Загальні параметри конектора (OpenCTI):

• OPENCTI_URL = http://opencti:8080 - URL платформи OpenCTI, до якої конектор підключається для створення об’єктів.
• OPENCTI_TOKEN = ${OPENCTI_ADMIN_TOKEN} - API токен користувача OpenCTI, який дозволяє конектору взаємодіяти з платформою. Має бути валідним UUID.
• CONNECTOR_ID = ${CONNECTOR_MISP_TPT_ID} - унікальний ID конектора в OpenCTI. Використовується для збереження стану (last_run, last_event).
• CONNECTOR_NAME = MISP-TPT - назва конектора, як вона відображається в OpenCTI веб-інтерфейсі.
• CONNECTOR_SCOPE = misp - тип/сфера конектора. Для конекторів MISP завжди misp.
• CONNECTOR_LOG_LEVEL = info - рівень логування. Можливі значення: debug, info, warning, error.
• CONNECTOR_CONFIDENCE_LEVEL = 75 - рівень довіри до об’єктів, які імпортує конектор, від 0 до 100.

Параметри MISP:

• MISP_URL = https://misp.the-purple.team - URL MISP платформи.
• MISP_KEY = QpV47AokB3WBI09zOPwwN98znxQXG0RjaSyIS4E7 - URL твоєї MISP платформи.
• MISP_SSL_VERIFY = true - верифікація SSL сертифіката при HTTPS-з’єднанні. True – перевіряє сертифікат, false – ігнорує.
  # Import options
• MISP_CREATE_REPORTS = 1 - створювати у OpenCTI звіти (Reports) з MISP подій.
• MISP_CREATE_INDICATORS = 1 - створювати у OpenCTI індикатори (Indicators) з MISP атрибутів.
• MISP_CREATE_OBSERVABLES = 1 - створювати Observables у OpenCTI, пов’язані з індикаторами.
• MISP_IMPORT_ONLY_PUBLISHED = 0 - якщо 1 – імпортує тільки опубліковані події MISP. 0 – всі події.
• MISP_IMPORT_TO_IDS_NO_SCORE = 0 - якщо 1 – імпортує всі індикатори без додавання score для IDS.
  # Filters
• MISP_IMPORT_FROM_DATE = 2025-01-01 - конектор підтягне тільки події з MISP, створені після цієї дати (тільки при першому запуску або після reset state).
• MISP_IMPORT_TAGS = - якщо вказати теги через кому, конектор підтягне лише події з цими тегами. Порожньо – всі події.
• MISP_IMPORT_CREATOR_ORGS = - якщо вказати організації через кому, конектор підтягне лише події, створені цими організаціями. Порожньо – всі організації.
  # Misc
• MISP_REPORT_DESCRIPTION_ATTRIBUTE = true - якщо true, OpenCTI створює в описі Reports додаткові атрибути подій MISP.

Після внесення усих налаштувань MISP коннестора в docker-compose.yml необхідно зупинити і запустити Docker. Відразу після цього з'явиться MISP коннестор в переліку компонентів Docker та у консолі OpenCTI Data -> Ingestion ви повинні побачити ваш конектор. У нашому випадку це MISP-TPT (мал. 1).

Якщо відкрити налаштування конектора в консолі, то ви повинні бачити прогрес отримання даних з MISP (мал. 2).

Може виникнути ситуація, що MISP коннектор не піддягує данні в OpenCTI. Зверніть увагу на значення параметру MISP_IMPORT_FROM_DATE який ви встановили. По суті, це дата, з якої починати збирати данні з відповідного MISP. Якщо ви встановили занадто давню дату, і MISP має багато індикаторів або звітів, передача даних в OpenCTI може зайняти багато часу. необхідно окремо перезапустити

docker compose restart connector_misp_tpt