こんにちは！

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

お問い合わせ

自己紹介

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

スキル

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

プロセス自動化

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

カスタムシステム

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

ミッション

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

🚀

テクノロジーの民主化

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

💡

ITとビジネスの融合

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

🎯

カスタムソリューション

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

テクノロジーでビジネスを変革

Dicembre 2024

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

💻 Linguaggi & Tecnologie

☕Java

🐍Python

📜JavaScript

🅰️Angular

⚛️React

🔷TypeScript

🗄️SQL

🐘PHP

🎨CSS/SCSS

🔧Node.js

🐳Docker

🌿Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

お問い合わせ

プロジェクトをお考えですか？お気軽にお問い合わせください。

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

脅威インテリジェンスの取り込み: STIX/TAXII フィードプロセッサ

脅威インテリジェンスは最新のセキュリティ運用の原動力です。最新のデータは必要ありません攻撃者、キャンペーン、手法、侵害の兆候 (IOC) にわたって、SOC は事後的に動作します。積極的というよりも。しかし、課題は情報を入手できるかどうかではなく、彼の問題です。 処理体系的な.

STIX/TAXII フィード (構造化された脅威情報の表現 / 信頼できる自動交換 Intelligence Information）は、情報を自動共有するための国際標準です。機械可読形式の脅威インテリジェンス。構造にはSTIX 2.1の組み合わせのデータとトランスポート用の TAXII 2.1 により、取り込みパイプラインを完全に構築できます SIEM、EDR、ファイアウォールを新しい IOC でほぼリアルタイムで更新する自動化。

この記事では、サーバーへの接続から完全な脅威インテリジェンスプロセッサを構築します。 TAXII、STIX 2.1 オブジェクト解析、IOC エンリッチメント、アラートとの相関 SIEM のセキュリティを強化し、適切なセキュリティ制御への自動ルーティングを行います。

何を学ぶか

STIX 2.1 オブジェクトの構造と TI モデリングパターン
Pythontaxii2-client を使用した TAXII 2.1 サーバーの接続とポーリング
STIX バンドルからの IOC の解析と正規化
IOC スコアリングと重複排除
SIEM、EDR、ファイアウォールへの自動ルーティング
リアルタイムの IOC アラート相関とアラート強化の自動生成

STIX 2.1: データモデル

STIX 2.1 は、事実上あらゆる側面を表すオブジェクトの語彙を定義します脅威インテリジェンスの。主要かつ基本的なオブジェクトの構造を理解するプロセッサを構築する前に。

IOC プロセッサに最も関連する STIX ドメインオブジェクト (SDO) は次のとおりです。

STIXオブジェクト	範囲	主要なフィールド
`indicator`	検出パターン付きIOC	パターン、有効開始日、有効期限まで、ラベル
`malware`	マルウェアファミリの詳細	名前、マルウェアの種類、エイリアス、機能
`threat-actor`	脅威アクターのプロフィール	名前、エイリアス、threat_actor_types、目標
`attack-pattern`	攻撃技(ATT&CK)	名前、external_references (ATT&CK ID)
`campaign`	攻撃キャンペーン	名前、エイリアス、first_seen、last_seen
`vulnerability`	CVE と脆弱性	名前、外部参照 (CVE)、説明
`relationship`	オブジェクト間の接続	関係タイプ、ソース参照、ターゲット参照

オブジェクト内のパターンの形式 indicator 専門的な言語を使用する STIXパターン言語と呼ばれます。例:

# Esempi di STIX Pattern Language
# File hash MD5
[file:hashes.'MD5' = 'd41d8cd98f00b204e9800998ecf8427e']

# URL malevolo
[url:value = 'http://malicious-c2.com/beacon']

# Indirizzo IP con porta
[network-traffic:dst_ref.type = 'ipv4-addr'
 AND network-traffic:dst_ref.value = '192.168.1.1'
 AND network-traffic:dst_port = 443]

# Dominio
[domain-name:value = 'evil-c2.com']

# Combinazione: file hash AND rete
[file:hashes.'SHA-256' = 'abc123...'
 AND network-traffic:dst_ref.value = '10.0.0.1']

TAXII サーバー 2.1 への接続

TAXII 2.1 は、脅威インテリジェンスコレクションを検出してポーリングするための REST API を定義します。 Python ライブラリ taxii2-client 認証を処理する完全なクライアントを提供します。ページングとエラー処理。

# Client TAXII 2.1
# File: taxii_client.py

from taxii2client.v21 import Server, Collection
from taxii2client.common import TokenAuth, BasicAuth
import requests
from datetime import datetime, timedelta
from typing import Iterator
import logging

class TaxiiClientConfig:
    def __init__(self, url: str, auth_type: str, **auth_params):
        self.url = url
        self.auth_type = auth_type
        self.auth_params = auth_params

class TaxiiIngestor:
    def __init__(self, configs: list[TaxiiClientConfig]):
        self.configs = configs
        self.logger = logging.getLogger(__name__)

    def _create_auth(self, config: TaxiiClientConfig):
        """Crea l'oggetto di autenticazione appropriato."""
        if config.auth_type == 'token':
            return TokenAuth(key=config.auth_params.get('token'))
        elif config.auth_type == 'basic':
            return BasicAuth(
                username=config.auth_params.get('username'),
                password=config.auth_params.get('password')
            )
        return None

    def discover_collections(self, config: TaxiiClientConfig) -> list[dict]:
        """Scopre le collection disponibili sul server TAXII."""
        try:
            auth = self._create_auth(config)
            server = Server(config.url, auth=auth)

            collections_info = []
            for api_root in server.api_roots:
                for collection in api_root.collections:
                    collections_info.append({
                        'url': config.url,
                        'api_root': api_root.url,
                        'collection_id': collection.id,
                        'title': collection.title,
                        'description': collection.description,
                        'can_read': collection.can_read,
                        'can_write': collection.can_write
                    })

            return collections_info
        except Exception as e:
            self.logger.error(f"Errore discovery server {config.url}: {e}")
            return []

    def poll_collection(
        self,
        config: TaxiiClientConfig,
        collection_id: str,
        added_after: datetime = None,
        limit: int = 1000
    ) -> Iterator[dict]:
        """
        Fa polling di una collection TAXII e restituisce bundle STIX.
        Gestisce la paginazione automaticamente.
        """
        if added_after is None:
            added_after = datetime.utcnow() - timedelta(hours=24)

        auth = self._create_auth(config)
        server = Server(config.url, auth=auth)

        for api_root in server.api_roots:
            for collection in api_root.collections:
                if collection.id != collection_id:
                    continue

                self.logger.info(
                    f"Polling collection '{collection.title}' dal {added_after}"
                )

                next_page = None
                total_fetched = 0

                while True:
                    try:
                        kwargs = {
                            'added_after': added_after.isoformat() + 'Z',
                            'limit': min(limit, 500)  # Max 500 per request
                        }
                        if next_page:
                            kwargs['next'] = next_page

                        response = collection.get_objects(**kwargs)

                        objects = response.get('objects', [])
                        total_fetched += len(objects)

                        if objects:
                            yield response  # Yield intero bundle STIX

                        # Gestione paginazione TAXII
                        next_page = response.get('next')
                        if not next_page or total_fetched >= limit:
                            break

                    except Exception as e:
                        self.logger.error(f"Errore polling: {e}")
                        break

    def poll_all_sources(
        self,
        collection_mapping: dict[str, str],
        added_after: datetime = None
    ) -> list[dict]:
        """Fa polling di tutte le sorgenti configurate."""
        all_objects = []

        for config in self.configs:
            collection_id = collection_mapping.get(config.url)
            if not collection_id:
                continue

            for bundle in self.poll_collection(config, collection_id, added_after):
                all_objects.extend(bundle.get('objects', []))

        self.logger.info(f"Recuperati {len(all_objects)} oggetti STIX totali")
        return all_objects

STIX IOC の解析と正規化

STIX オブジェクトは、セキュリティシステムが認識できる正規化された構造に変換する必要があります。 (SIEM、EDR、ファイアウォール) を直接消費できます。インジケーターの解析には次のものが必要です STIXパターン言語の解釈。

# Parser STIX IOC
# File: stix_parser.py

import re
from dataclasses import dataclass
from datetime import datetime
from typing import Optional

@dataclass
class NormalizedIOC:
    """IOC normalizzato e pronto per il deployment."""
    raw_id: str           # ID STIX originale
    ioc_type: str         # 'ip', 'domain', 'url', 'hash_md5', 'hash_sha256', 'email'
    value: str            # Il valore dell'IOC
    source: str           # Feed sorgente
    confidence: int       # 0-100
    severity: str         # 'low', 'medium', 'high', 'critical'
    valid_from: datetime
    valid_until: Optional[datetime]
    tags: list[str]
    related_malware: list[str]
    related_threat_actors: list[str]
    mitre_techniques: list[str]
    description: str = ''

class STIXParser:
    # Pattern regex per estrarre valori dal STIX Pattern Language
    PATTERN_EXTRACTORS = {
        'ip': re.compile(
            r"network-traffic:(?:dst|src)_ref\.value\s*=\s*'([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})'"
        ),
        'domain': re.compile(
            r"domain-name:value\s*=\s*'([a-zA-Z0-9.-]+\.[a-zA-Z]{2,})'"
        ),
        'url': re.compile(
            r"url:value\s*=\s*'(https?://[^']+)'"
        ),
        'hash_md5': re.compile(
            r"file:hashes\.'MD5'\s*=\s*'([a-fA-F0-9]{32})'"
        ),
        'hash_sha256': re.compile(
            r"file:hashes\.'SHA-256'\s*=\s*'([a-fA-F0-9]{64})'"
        ),
        'email': re.compile(
            r"email-message:from_ref\.value\s*=\s*'([^@]+@[^']+)'"
        ),
    }

    def __init__(self, source_name: str):
        self.source = source_name
        self.logger = logging.getLogger(__name__)

    def parse_bundle(self, stix_bundle: dict) -> list[NormalizedIOC]:
        """Parsa un intero bundle STIX e restituisce IOC normalizzati."""
        objects = stix_bundle.get('objects', [])

        # Indicizza oggetti per ID (per risolvere relazioni)
        obj_index = {obj['id']: obj for obj in objects}

        # Costruisci mappa delle relazioni
        relationships = self._index_relationships(objects)

        iocs = []
        for obj in objects:
            if obj.get('type') == 'indicator':
                try:
                    ioc = self._parse_indicator(obj, obj_index, relationships)
                    if ioc:
                        iocs.append(ioc)
                except Exception as e:
                    self.logger.warning(f"Errore parsing indicatore {obj.get('id')}: {e}")

        return iocs

    def _index_relationships(self, objects: list[dict]) -> dict[str, list[dict]]:
        """Indicizza le relazioni per source_ref."""
        relationships = {}
        for obj in objects:
            if obj.get('type') == 'relationship':
                source = obj.get('source_ref', '')
                if source not in relationships:
                    relationships[source] = []
                relationships[source].append(obj)
        return relationships

    def _parse_indicator(
        self,
        indicator: dict,
        obj_index: dict,
        relationships: dict
    ) -> Optional[NormalizedIOC]:
        """Parsa un singolo oggetto indicator STIX."""
        pattern = indicator.get('pattern', '')
        if not pattern:
            return None

        # Estrai IOC dal pattern
        ioc_type, ioc_value = self._extract_ioc_from_pattern(pattern)
        if not ioc_type or not ioc_value:
            self.logger.debug(f"Pattern non riconosciuto: {pattern[:100]}")
            return None

        # Calcola validita
        valid_from = self._parse_datetime(indicator.get('valid_from', ''))
        valid_until = self._parse_datetime(indicator.get('valid_until'))

        if valid_until and datetime.utcnow() > valid_until:
            self.logger.debug(f"IOC scaduto: {ioc_value}")
            return None

        # Confidence dal livello STIX
        confidence = indicator.get('confidence', 50)
        if isinstance(confidence, str):
            confidence = {'high': 85, 'medium': 50, 'low': 20}.get(confidence, 50)

        # Risolvi relazioni per trovare malware e threat actor correlati
        related_malware = []
        related_actors = []
        mitre_techniques = []

        for rel in relationships.get(indicator.get('id', ''), []):
            target_obj = obj_index.get(rel.get('target_ref', ''), {})
            obj_type = target_obj.get('type', '')

            if obj_type == 'malware':
                related_malware.append(target_obj.get('name', ''))
            elif obj_type == 'threat-actor':
                related_actors.append(target_obj.get('name', ''))
            elif obj_type == 'attack-pattern':
                # Estrai tecnica MITRE da external references
                for ref in target_obj.get('external_references', []):
                    if ref.get('source_name') == 'mitre-attack':
                        mitre_techniques.append(ref.get('external_id', ''))

        # Labels diventano tags
        tags = indicator.get('labels', [])

        # Determina severity dal confidence
        severity = 'low'
        if confidence >= 80:
            severity = 'critical'
        elif confidence >= 60:
            severity = 'high'
        elif confidence >= 40:
            severity = 'medium'

        return NormalizedIOC(
            raw_id=indicator.get('id', ''),
            ioc_type=ioc_type,
            value=ioc_value,
            source=self.source,
            confidence=confidence,
            severity=severity,
            valid_from=valid_from or datetime.utcnow(),
            valid_until=valid_until,
            tags=tags,
            related_malware=related_malware,
            related_threat_actors=related_actors,
            mitre_techniques=mitre_techniques,
            description=indicator.get('description', '')
        )

    def _extract_ioc_from_pattern(self,
                                    pattern: str) -> tuple[str, str]:
        """Estrae tipo e valore IOC dal STIX pattern."""
        # Pulisci il pattern
        clean_pattern = pattern.strip('[]').strip()

        for ioc_type, regex in self.PATTERN_EXTRACTORS.items():
            match = regex.search(clean_pattern)
            if match:
                return ioc_type, match.group(1)

        return None, None

    def _parse_datetime(self, dt_str: str) -> Optional[datetime]:
        if not dt_str:
            return None
        try:
            return datetime.fromisoformat(dt_str.replace('Z', '+00:00'))
        except ValueError:
            return None

IOC 重複排除とスコアリング

複数のフィードには、異なる信頼度を持つ同じ IOC を含めることができます。重複排除システム情報をインテリジェントに集約し、複数の情報が存在する場合の信頼性を高める必要があります。独立した情報源も同じ指標を報告しています。

# IOC Deduplication e Scoring
# File: ioc_deduplicator.py

from collections import defaultdict

class IOCDeduplicator:
    def __init__(self, min_confidence: int = 30):
        self.min_confidence = min_confidence

    def deduplicate_and_score(
        self,
        iocs: list[NormalizedIOC]
    ) -> list[NormalizedIOC]:
        """
        Deduplica IOC e aumenta confidence quando
        molteplici sorgenti riportano lo stesso valore.
        """
        # Raggruppa per valore IOC
        grouped = defaultdict(list)
        for ioc in iocs:
            key = (ioc.ioc_type, ioc.value.lower())
            grouped[key].append(ioc)

        result = []
        for (ioc_type, value), group in grouped.items():
            if len(group) == 1:
                ioc = group[0]
            else:
                # Merge degli IOC dallo stesso valore
                ioc = self._merge_iocs(group)

            # Filtra per confidence minima
            if ioc.confidence >= self.min_confidence:
                result.append(ioc)

        return sorted(result, key=lambda x: x.confidence, reverse=True)

    def _merge_iocs(self, iocs: list[NormalizedIOC]) -> NormalizedIOC:
        """Merge di IOC duplicati da sorgenti diverse."""
        # Prendi il più recente come base
        base = max(iocs, key=lambda x: x.valid_from)

        # Confidence aumenta con il numero di sorgenti (diminishing returns)
        base_confidence = max(i.confidence for i in iocs)
        source_boost = min(len(iocs) - 1, 3) * 5  # Max +15%
        merged_confidence = min(base_confidence + source_boost, 100)

        # Unisci metadati
        all_tags = list(set(tag for i in iocs for tag in i.tags))
        all_malware = list(set(m for i in iocs for m in i.related_malware))
        all_actors = list(set(a for i in iocs for a in i.related_threat_actors))
        all_techniques = list(set(t for i in iocs for t in i.mitre_techniques))
        all_sources = list(set(i.source for i in iocs))

        return NormalizedIOC(
            raw_id=base.raw_id,
            ioc_type=base.ioc_type,
            value=base.value,
            source=",".join(all_sources),
            confidence=merged_confidence,
            severity=base.severity,
            valid_from=base.valid_from,
            valid_until=base.valid_until,
            tags=all_tags,
            related_malware=all_malware,
            related_threat_actors=all_actors,
            mitre_techniques=all_techniques,
            description=base.description
        )

セキュリティ制御へのルーティング

完全な TI プロセッサは解析にとどまらず、正規化された IOC をシステムに配布します。効果的に防御を実行できます。ルーティングは、IOC のタイプと信頼性に基づいて行われます。

# IOC Router verso SIEM, EDR, Firewall
# File: ioc_router.py

import httpx
import json

class IOCRouter:
    def __init__(self, config: dict):
        self.siem_endpoint = config.get('siem_endpoint')
        self.edr_api_key = config.get('edr_api_key')
        self.firewall_api = config.get('firewall_api')
        self.confidence_thresholds = {
            'firewall_block': 80,    # Blocca nel firewall solo alta confidence
            'edr_detection': 60,     # Alert EDR da confidence media+
            'siem_enrichment': 30,   # Enrichment SIEM per tutti gli IOC
        }

    def route(self, ioc: NormalizedIOC) -> list[dict]:
        """Distribuisce un IOC ai sistemi appropriati."""
        results = []

        # Tutti gli IOC vanno in SIEM per enrichment
        if ioc.confidence >= self.confidence_thresholds['siem_enrichment']:
            result = self._push_to_siem(ioc)
            results.append({'destination': 'siem', **result})

        # IOC di rete ad alta confidence vanno nel firewall
        if (ioc.ioc_type in ('ip', 'domain', 'url') and
                ioc.confidence >= self.confidence_thresholds['firewall_block']):
            result = self._push_to_firewall(ioc)
            results.append({'destination': 'firewall', **result})

        # Hash e IP vanno in EDR
        if (ioc.ioc_type in ('hash_md5', 'hash_sha256', 'ip') and
                ioc.confidence >= self.confidence_thresholds['edr_detection']):
            result = self._push_to_edr(ioc)
            results.append({'destination': 'edr', **result})

        return results

    def _push_to_siem(self, ioc: NormalizedIOC) -> dict:
        """Invia IOC al SIEM per enrichment e detection."""
        # Esempio: push a Elasticsearch/OpenSearch
        document = {
            '@timestamp': ioc.valid_from.isoformat(),
            'ioc_type': ioc.ioc_type,
            'ioc_value': ioc.value,
            'confidence': ioc.confidence,
            'severity': ioc.severity,
            'source': ioc.source,
            'tags': ioc.tags,
            'related_malware': ioc.related_malware,
            'threat_actors': ioc.related_threat_actors,
            'mitre_techniques': ioc.mitre_techniques
        }

        try:
            with httpx.Client() as client:
                response = client.post(
                    f"{self.siem_endpoint}/threat-intel/_doc",
                    json=document,
                    timeout=10
                )
                return {'status': 'success', 'http_code': response.status_code}
        except Exception as e:
            return {'status': 'error', 'error': str(e)}

    def _push_to_firewall(self, ioc: NormalizedIOC) -> dict:
        """Aggiunge un IP/dominio alla blocklist del firewall."""
        blocklist_entry = {
            'type': ioc.ioc_type,
            'value': ioc.value,
            'action': 'block',
            'comment': f"TI-{ioc.source}-conf{ioc.confidence}",
            'expiry': ioc.valid_until.isoformat() if ioc.valid_until else None
        }

        try:
            with httpx.Client() as client:
                response = client.post(
                    f"{self.firewall_api}/blocklist",
                    json=blocklist_entry,
                    headers={"Authorization": f"Bearer {self.edr_api_key}"},
                    timeout=10
                )
                return {'status': 'success', 'http_code': response.status_code}
        except Exception as e:
            return {'status': 'error', 'error': str(e)}

    def _push_to_edr(self, ioc: NormalizedIOC) -> dict:
        """Configura l'EDR per rilevare l'IOC."""
        ioc_config = {
            'indicator_type': (
                'hash' if 'hash' in ioc.ioc_type
                else ioc.ioc_type
            ),
            'indicator_value': ioc.value,
            'action': 'alert' if ioc.confidence < 90 else 'block',
            'severity': ioc.severity,
            'description': ioc.description or f"IOC from {ioc.source}"
        }

        try:
            with httpx.Client() as client:
                response = client.post(
                    f"{self.firewall_api}/ioc-management",
                    json=ioc_config,
                    headers={"X-API-Key": self.edr_api_key},
                    timeout=10
                )
                return {'status': 'success', 'http_code': response.status_code}
        except Exception as e:
            return {'status': 'error', 'error': str(e)}

アラート相関を備えた完全なパイプライン

完全なパイプラインには、TAXII ポーリング、STIX 解析、重複排除、ルーティング、相関関係が統合されています。 SIEM アラートを使用してリアルタイムで監視します。新しい IOC が取り込まれると、システムは以下をチェックします。一致する最近のアラートがある場合は、自動エンリッチメントが生成されます。

# Pipeline TI Completa
# File: ti_pipeline.py

import asyncio
from datetime import datetime, timedelta

class ThreatIntelPipeline:
    def __init__(self, taxii_ingestor: TaxiiIngestor,
                  stix_parser: STIXParser,
                  deduplicator: IOCDeduplicator,
                  router: IOCRouter,
                  siem_client):
        self.ingestor = taxii_ingestor
        self.parser = stix_parser
        self.deduplicator = deduplicator
        self.router = router
        self.siem = siem_client
        self.logger = logging.getLogger(__name__)

    async def run_ingestion_cycle(
        self,
        collection_mapping: dict,
        lookback_hours: int = 24
    ) -> dict:
        """Esegue un ciclo completo di ingestion."""
        start_time = datetime.utcnow()
        added_after = start_time - timedelta(hours=lookback_hours)

        # 1. Poll tutti i feed
        self.logger.info(f"Avvio polling TAXII da {added_after}")
        raw_objects = self.ingestor.poll_all_sources(
            collection_mapping, added_after
        )

        if not raw_objects:
            return {'processed': 0, 'routed': 0}

        # 2. Parse STIX bundle
        bundle = {"objects": raw_objects}
        iocs = self.parser.parse_bundle(bundle)
        self.logger.info(f"Parsati {len(iocs)} IOC da {len(raw_objects)} oggetti STIX")

        # 3. Deduplica e scoring
        unique_iocs = self.deduplicator.deduplicate_and_score(iocs)
        self.logger.info(f"IOC unici dopo dedup: {len(unique_iocs)}")

        # 4. Routing verso controlli
        routing_results = []
        for ioc in unique_iocs:
            results = self.router.route(ioc)
            routing_results.extend(results)

        # 5. Correlazione con alert recenti
        correlations = await self._correlate_with_recent_alerts(unique_iocs)

        return {
            'processed': len(iocs),
            'unique': len(unique_iocs),
            'routed': len(routing_results),
            'correlations_found': len(correlations),
            'duration_seconds': (datetime.utcnow() - start_time).total_seconds()
        }

    async def _correlate_with_recent_alerts(
        self,
        iocs: list[NormalizedIOC],
        lookback_hours: int = 48
    ) -> list[dict]:
        """Cerca alert recenti che matchano i nuovi IOC."""
        correlations = []

        # Query SIEM per alert recenti
        recent_alerts = await self.siem.search_recent_alerts(
            hours_back=lookback_hours,
            limit=10000
        )

        # Crea indice degli IOC per lookup efficiente
        ioc_index = {}
        for ioc in iocs:
            key = (ioc.ioc_type, ioc.value.lower())
            ioc_index[key] = ioc

        # Cerca match
        for alert in recent_alerts:
            # Controlla IP, domini, hash nell'alert
            fields_to_check = [
                ('ip', alert.get('src_ip', '')),
                ('ip', alert.get('dst_ip', '')),
                ('domain', alert.get('dns_query', '')),
                ('hash_md5', alert.get('file_hash_md5', '')),
                ('hash_sha256', alert.get('file_hash_sha256', '')),
            ]

            for ioc_type, value in fields_to_check:
                if not value:
                    continue
                ioc = ioc_index.get((ioc_type, value.lower()))
                if ioc:
                    correlation = {
                        'alert_id': alert.get('id'),
                        'ioc_type': ioc_type,
                        'ioc_value': value,
                        'ioc_confidence': ioc.confidence,
                        'related_malware': ioc.related_malware,
                        'related_actors': ioc.related_threat_actors
                    }
                    correlations.append(correlation)
                    # Enrichisci l'alert nel SIEM
                    await self.siem.enrich_alert(
                        alert.get('id'), correlation
                    )

        if correlations:
            self.logger.warning(
                f"CORRELAZIONI TROVATE: {len(correlations)} alert matchano IOC nuovi!"
            )

        return correlations

    async def run_scheduled(self, interval_minutes: int = 60,
                              collection_mapping: dict = None) -> None:
        """Esegue il pipeline su intervallo schedulato."""
        self.logger.info(
            f"Pipeline TI avviata, polling ogni {interval_minutes} minuti"
        )
        while True:
            try:
                result = await self.run_ingestion_cycle(
                    collection_mapping or {}
                )
                self.logger.info(f"Ciclo completato: {result}")
            except Exception as e:
                self.logger.error(f"Errore ciclo ingestion: {e}", exc_info=True)

            await asyncio.sleep(interval_minutes * 60)

無料の TAXII フィードの推奨

マイターアタック&CKタクシーII: https://cti-taxii.mitre.org/taxii/ - グループとソフトウェア
リムジンの異常: コミュニティが厳選した IOC の無料枠
AlienVault OTX: コミュニティ主導の脅威インテリジェンスフィード
マルウェア情報共有プラットフォーム (MISP): コミュニティフィードを備えた自己ホスト型
IPDBの悪用: 悪意のある IP フィード (TAXII ではなく REST API)

フィードの品質に注意する

すべての TAXII フィードが同じ品質であるわけではありません。信頼度が低く、割合が高いフィード誤検知 (汎用 IP、CDN、Tor 出口ノードなど) がトラフィックブロックを引き起こす可能性があります検証せずにファイアウォールに挿入された場合は正規です。必ず次のようなシステムを導入してください。ブロックする前にホワイトリストに登録します (例: 有名なクラウドプロバイダーからの CIDR、組織 IP)。

結論と重要なポイント

成熟した STIX/TAXII プロセッサが人的資産からの脅威インテリジェンスを変換 (レポートを読むアナリスト) から自動化された運用リソース (伝播する IOC) 投稿後数分以内に自動的にセキュリティチェックが行われます)。

重要なポイント

STIX 2.1 は TI モデリングの標準言語です。 TAXII 2.1 とトランスポートプロトコル
STIX パーサーは、IOC をマルウェア/アクターコンテキストで強化するためにオブジェクト間の関係を管理する必要があります
マルチソースの重複排除により、一致するソースに比例して信頼性が向上します
ルーティングは IOC のタイプと信頼性に基づく必要があります (ファイアウォール内のすべてをブロックしないでください)。
リアルタイムの IOC とアラートの相関関係が真の付加価値です。パッシブな IOC をアクティブなアラートに変換します。
自動ブロックの前に必ずホワイトリストを実装して、自らによる機能停止を防止してください。

AI 支援検出: シグマルール生成用の LLM
Python の SOAR プレイブック: インシデント対応の自動化
MITRE ATT&CK の統合: カバレッジギャップのマッピング