Skip to content

Latest commit

 

History

History
 
 

scripts

Folders and files

NameName
Last commit message
Last commit date

parent directory

..
CS-ioc.txt
CS-ioc.txt
 
 
CS_build_stix-from_files.py
CS_build_stix-from_files.py
 
 
Readme.md
Readme.md
 
 
package.stix
package.stix
 
 
package.stix2
package.stix2
 
 

Readme.md

Script PRODUCER

Generazione formati STIX 1.2 e 2

Lo script python CS_build_stix-from_files.py legge un file di testo contenente gli IoC (sha256, sha1, md5, domain, url, ip, email) e genera i file STIX 1.2 (XML) e STIX 2 (JSON) da iniettare sulla rete STIX/TAXII della community Cyber Saiyan (al momento la rete supporta esclusivamente il formato STIX 1.2)

Per poter utilizzare lo script è necessario installare le seguenti dipendenze (testato su Ubuntu >= 18.04)

# cabby 
pip install cabby

# python-cybox
git clone https://github.com/CybOXProject/python-cybox.git
cd python-cybox/
sudo python setup.py install

# python-stix
git clone https://github.com/STIXProject/python-stix.git
cd python-stix
sudo python setup.py install 

# stix
pip install stix
pip install stix2

# validators
pip install validators

Prima di eseguire lo script effettuare le seguenti operazioni

  • nel file CS_build_stix-from_files.py aggiornare le variabili MyTITLE, DESCRIPTION, IDENTITY
  • fare un clear del file CS-ioc.txt ~$ > CS-ioc.txt
  • inserire gli IoC supportati (sha256, sha1, md5, domain, ipv4, url) nel file CS-ioc.txt. Lo script parsa il file linea per linea ed usa delle espressioni regolari per validare gli IoC; commenti o IoC malformati vengono ignorati
  • eseguire lo script python -W ignore CS_build_stix.py

Dopo l'esecuzione sono generati due file (esempi nella dir)

  • package.stix: file STIX 1.2 XML
  • package.stix2: file STIX 2 JSON

PUSH STIX 1.2

Dopo aver creato i file STIX è necessario fare il PUSH (via Cabby in questo esempio) del file STIX 1.2 (unico formato supportato al momento) sulla rete STIX/TAXII della community Cyber Saiyan. Di seguito il comando da eseguire che richiesde una password (il PUSH è autenticato); nel caso in cui si volesse contribuire unirsi al gruppo Telegram

taxii-push --discovery https://infosharing.cybersaiyan.it:9000/services/discovery --dest community --username community --password <TO-BE-SENT> --content-file package.stix

La verifica dell'effettivo caricamento degli IoC sulla rete può essere fatta con Cabby in maniera non autenticata (tempo massimo di update 10 minuti)

taxii-poll --host infosharing.cybersaiyan.it --https --collection CS-COMMUNITY-TAXII --discovery /taxii-discovery-service