SikkerAPIOfficial/opencti-connector

# OpenCTI SikkerAPI Connector | Status | Date | Comment | |-----------|------------|--------------------------------------| | Community | 2026-02-21 | 由 [SikkerAPI](https://sikkerapi.com) 初始贡献 | ## 目录 - [介绍](#introduction) - [需求](#requirements) - [配置](#configuration) - [部署](#deployment) - [Docker 部署](#docker-deployment) - [手动部署](#manual-deployment) - [使用](#usage) - [行为](#behavior) - [调试](#debugging) ## 介绍 此连接器通过 TAXII 2.1 feed 将来自 [SikkerAPI](https://sikkerapi.com) 的 IP 信誉指标导入 OpenCTI。 SikkerAPI 运营着一个全球分布式的蜜罐网络，可捕获 SSH、HTTP、FTP、SMB 和其他协议中的真实攻击者行为。该连接器拉取包含以下内容的 STIX 2.1 指标对象： - **IP 地址模式** (`[ipv4-addr:value = '...']`) - 基于观察到的攻击行为的 **置信度评分** (0-100) - 通过杀伤链阶段映射的 **MITRE ATT&CK** - **行为标签**（暴力破解、凭证收集、端口扫描等） - **外部参考** 至 MITRE ATT&CK 技术 ## 需求 - OpenCTI Platform >= 6.8.0 - 一个 SikkerAPI API 密钥（[免费注册](https://sikkerapi.com)） ## 配置 ### OpenCTI 环境变量 | Parameter | Environment Variable | config.yml | Default | Description | |-------------|---------------------|-------------|---------|-----------------------------| | OpenCTI URL | `OPENCTI_URL` | `opencti.url` | — | 您的 OpenCTI 实例 URL | | OpenCTI Token | `OPENCTI_TOKEN` | `opencti.token` | — | OpenCTI 的 API token | ### 基础连接器环境变量 | Parameter | Environment Variable | config.yml | Default | Description | |-----------------|-----------------------------|---------------------------|--------------|--------------------------------------| | Connector ID | `CONNECTOR_ID` | `connector.id` | — | 此连接器的唯一 UUID | | Connector Name | `CONNECTOR_NAME` | `connector.name` | `SikkerAPI` | OpenCTI 中的显示名称 | | Connector Scope | `CONNECTOR_SCOPE` | `connector.scope` | `sikkerapi` | 连接器范围 | | Log Level | `CONNECTOR_LOG_LEVEL` | `connector.log_level` | `info` | `debug`, `info`, `warning`, `error` | | Duration Period | `CONNECTOR_DURATION_PERIOD` | `connector.duration_period` | `PT6H` | 运行间隔（ISO 8601 格式） | ### 连接器额外参数 | Parameter | Environment Variable | config.yml | Default | Description | |--------------------|------------------------------|-------------------------------|--------------------------------|--------------------------------------------| | API Key | `SIKKERAPI_API_KEY` | `sikkerapi.api_key` | — | 您的 SikkerAPI API 密钥 (`sk_...`) | | Base URL | `SIKKERAPI_BASE_URL` | `sikkerapi.base_url` | `https://api.sikkerapi.com` | API 基础 URL | | Collection ID | `SIKKERAPI_COLLECTION_ID` | `sikkerapi.collection_id` | `sikker-threat-intel` | 要轮询的 TAXII 集合 | | Page Size | `SIKKERAPI_PAGE_SIZE` | `sikkerapi.page_size` | `500` | 每页指标数量 (1-1000) | | Min Confidence | `SIKKERAPI_CONFIDENCE_MIN` | `sikkerapi.confidence_min` | `0` | 仅导入达到或超过此置信度的指标 | | Import Start Date | `SIKKERAPI_IMPORT_START_DATE`| `sikkerapi.import_start_date` | — | ISO 8601 时间戳，仅导入此时间之后的数据 | ## 部署 ### Docker 部署 使用提供的 `Dockerfile` 构建 Docker 镜像： ``` docker compose up -d ``` ### 手动部署 ``` cd src cp config.yml.sample config.yml # 使用你的值编辑 config.yml pip3 install -r requirements.txt python3 main.py ``` ## 使用 部署后，连接器将按照 `CONNECTOR_DURATION_PERIOD` 配置的间隔运行（默认：每 6 小时）。每次运行： 1. 从 SikkerAPI 的 TAXII 2.1 端点获取新的 STIX 指标 2. 根据置信度阈值进行过滤（如果已配置） 3. 将 STIX bundles 发送到 OpenCTI 连接器会跟踪上次成功运行的时间，并且仅获取自那时起更新的指标。 ## 行为 ``` sequenceDiagram participant OpenCTI participant Connector participant SikkerAPI Connector->>OpenCTI: Get last run state loop For each page Connector->>SikkerAPI: GET /taxii2/collections/{id}/objects/?added_after=...&limit=500 SikkerAPI-->>Connector: TAXII Envelope (STIX indicators + identity) Connector->>Connector: Filter by confidence_min Connector->>OpenCTI: Send STIX bundle end Connector->>OpenCTI: Save run state ``` | SikkerAPI STIX Object | OpenCTI Entity | |-----------------------|--------------------| | `indicator` | Indicator | | `identity` | Identity (Organization) | ## 调试 要启用调试日志记录，请在您的环境或配置文件中设置 `CONNECTOR_LOG_LEVEL=debug`。 ## 获取 API 密钥 1. 在 [sikkerapi.com](https://sikkerapi.com) 注册 2. 前往 [Dashboard > API Keys](https://dashboard.sikkerapi.com/api-keys) 3. 创建新密钥 免费套餐包含 TAXII feed 访问权限。

标签：AMSI绕过, Docker, IP信誉, OpenCTI, PoC, Python, SikkerAPI, STIX 2.1, TAXII 2.1, 凭证收集, 威胁情报, 威胁检测, 安全数据摄取, 安全防御评估, 密码管理, 开发者工具, 插件系统, 攻击模式, 数据统计, 数据集成, 无后门, 暴力破解, 杀伤链, 端口扫描, 网络安全, 自动化运维, 蜜罐网络, 请求拦截, 足迹分析, 连接器, 逆向工具, 隐私保护