UserGate
Данное руководство описывает быструю настройку интеграции (автоматическую загрузку индикаторов компрометации (IoC)) Solar TI Feeds Agent с UserGete.
Предварительные требования
- Установленный и настроенный Solar TI Feeds Agent;
- Учетные данные для доступа к UserGete;
- Доступ к серверу TI Feeds с действительным JWT-токеном.
Конфигурация интеграции
Данная интеграция автоматизирует выгрузку индикаторов компрометации из Solar TI Feeds в UserGete. Для получения индикаторов угроз создается пайплайн обработки, обеспечивающий получение, преобразование и загрузку данных.
Для подключения к СЗИ используется basic аутентификация.
Переменные окружения
Для работы интеграции необходимо определить следующие переменные окружения:
Переменные для интеграции с UserGete
- TIC_AGENT_SERVICE_HOST - Хост или IP-адрес сервера UserGete
- TIC_AGENT_SERVICE_PORT - Порт для подключения к API UserGete
- TIC_AGENT_SERVICE_USER - Имя пользователя для аутентификации в UserGete
- TIC_AGENT_SERVICE_PASSWORD - Пароль для аутентификации в UserGete
Структура пайплайнов для UserGete
Каждый пайплайн состоит из следующих компонентов:
- IndicatorsGenerator — получает индикаторы из Solar TI Feeds.
- IndicatorsTextMap — преобразует данные в текстовый формат, пригодный для загрузки.
- IndicatorsTextSink — сохраняет данные в CSV-файл и загружает их в UserGete.
Конфигурация автоматически создает отдельный пайплайн для каждого фида из списка allFeedsList. При необходимости вы можете изменить этот список, указав только нужные фиды.
Пример настройки списка фидов:
local feedsList = List(
"c2",
"botnet",
"stealer",
"ransomware",
"cryptomining",
"apt",
"phishing",
"active_c2",
"honeypot_attacker",
"honeypot_payload",
"intrusion"
)
Справочник параметров для UserGete
Ключевые параметры конфигурации для UserGete приведены в таблице:
| Параметр | Тип данных | Значение по умолчанию | Обязательность | Описание | Пример |
|---|---|---|---|---|---|
| credentials | Credentials | Да | Данные для аутентификации | credentials = new agent.Basic {username =UserGete_User password = UserGete_Password} | |
| address | Address | Да | Данные подключения | address {host = UserGeteHost port = UserGete_TracePort insecureSkipVerify = true scheme = "https"} | |
| timeout | Duration | 30.s | Нет | Таймаут запросов | 60.s |
| listName | String | Да | Имя списка для загрузки данных | “4rays_feeds” |
Параметры конфигурации UsergateCfg
| Параметр | Тип данных | Обязательность | Описание | Возможные значения |
|---|---|---|---|---|
| listType | String | Да | Тип списка для загрузки фидов | url, network |
Полный пример конфигурационного файла для интеграции с UserGete
amends "package://pkg.pkl-lang.org/github.com/pipelane/pipelaner/pipelaner@1.3.1#/Pipelaner.pkl"
import "package://pkg.pkl-lang.org/github.com/pipelane/pipelaner/pipelaner@1.3.1#/source/Components.pkl"
import "../agent.pkl"
import "../templates.pkl"
pipelines {
new Components.Pipeline {
name = "url-pipeline"
inputs {
new agent.IndicatorsGenerator {
name = "url-generator"
server = templates.serverEnvCfg
schedule = templates.scheduleCronMinCfg
filter = new agent.IndicatorRequestParams {
actions = List("create", "update")
types = List("url")
fields = List("value")
iter {
limit = 1000
}
}
sqlite = templates.sqliteEnvCfg
}
}
transforms {
new agent.IndicatorsTextMap {
name = "url-map"
inputs {
"url-generator"
}
fieldsMap {
["value"] = "Value"
}
}
}
sinks {
new agent.IndicatorsTextSink {
name = "url-sink"
inputs {
"url-map"
}
writer {
outputDirectory = templates.outputDirEnv
outputFileName = "domain.txt"
writeMode = "replace"
fileFormat = "txt"
}
sqlite = templates.sqliteEnvCfg
service = new agent.UsergateCfg {
address {
host = templates.externalServiceHostEnv
port = templates.externalServicePortEnv
insecureSkipVerify = true
scheme = "https"
}
credentials = new agent.Basic {
username = templates.externalServiceUserEnv
password = templates.externalServicePasswordEnv
}
timeout = 20.s
listName = "test_list_1"
listType = "url"
}
}
}
}
}
settings {
gracefulShutdownDelay = 600.s
logger {
logLevel = "info"
logFormat = "json"
enableConsole = true
}
healthCheck {
}
metrics {
serviceName = "agent"
}
}
Мониторинг результатов работы интеграции
После запуска агента убедитесь в корректности работы интеграции:
- Проверка файлов результатов: Убедитесь, что в рабочей директории (TIC_AGENT_OUTPUT_DIR) создаются CSV-файлы с именами соответствующих фидов.
- Анализ логов: Проверьте логи агента в директории TIC_AGENT_LOG_DIR на наличие ошибок или предупреждений.
- Верификация в UserGete: В интерфейсе UserGete убедитесь, что созданы списки индикаторов с префиксом 4rays_ и что они содержат актуальные данные.