Konfigurieren Sie einen neuen TAXII-Feed

  • Freigeben Version: Xanadu
  • Aktualisiert 26. August 2024
  • 4 Minuten Lesedauer

    • Sie können TAXII-Feeds für die Freigabe von STIX-formatierten Informationen verwalten. Jeder TAXII-Feed enthält eine oder mehrere TAXII-Sammlungen.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    2. Klicken Sie auf das Symbol Integrationen.
    3. Auswahlvorgang Bedrohungsinformationenfeeds > STIX-TAXII > TAXII-Feedsan.
      Hinweis:
      Konfigurieren Sie den TAXII-Feed so, dass er als Profil für alle darin enthaltenen TAXII-Sammlungen dient.
    4. Klicken Sie auf Neue Quelle konfigurieren.
      Die Seite Neuen TAXII-Feed konfigurieren wird angezeigt.
    5. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Neue Datenquelle erstellen
      Feld Beschreibung
      Name Geben Sie einen Namen für den Feed ein.
      Beschreibung Beschreibung des Feeds.
      Quelltyp Der Typ der Quelle, z. B. Open Source, Premium-Quelle usw., die für den Feed bereitgestellt wurde. Die verfügbaren Quelltypen sind:
      • Regierung
      • ISACs
      • Open Source
      • Premium-Quelle
      • Andere Quelle
      Logo Hängen Sie das Logo des Quell-Feeds an.
      Branche Wählen Sie die Branchenkategorie aus, z. B. Luft- und Raumfahrt, Landwirtschaft usw., für die die Feed-Datenquelle gilt.

      Füllen Sie die Felder im Abschnitt Configuration entsprechend aus.

      Tabelle : 2. Konfiguration
      Feld Beschreibung
      TAXII-Version Wählen Sie die TAXII-Version des zu konfigurierenden TAXII-Servers aus. Unterstützte Versionen sind 2.0 und 2.1.
      Konfigurationstyp Geben Sie einen Konfigurationstyp zum Abrufen von TAXII-Sammlungen an. Verfügbare Werte sind:
      • Discovery-Service-URL: Wählen Sie die Discovery-Service-URL, um Sammlungen von allen verfügbaren API-Stämmen innerhalb des Discovery-Service des TAXII-Servers abzurufen.
      • API-Stamm-URL: Wählen Sie die API-Stamm-URL, um Sammlungen vom spezifischen API-Stamm des TAXII-Servers abzurufen.
      Authentifizierung Wählen Sie die erforderliche Option aus der Dropdown-Liste aus, wenn die Authentifizierung erforderlich ist. Verfügbare Optionen:
      • Keine: Wählen Sie diese Option aus, wenn keine Authentifizierung erforderlich ist.
      • Standard: Wählen Sie diese Option aus, um Anwendernamen und Passwort anzugeben.
      • API-Schlüssel: Wählen Sie diese Option aus, um einen API-Schlüssel bereitzustellen.
      • REST-Nachricht wählen: Wählen Sie diese Option für jede andere Art der Authentifizierung aus. Die REST-Nachrichtenoptionen sind:
        • REST-Nachricht verwenden: Aktivieren Sie dieses Kontrollkästchen, wenn Sie eine REST-Nachricht zum Erstellen einer vorgefertigten REST-Nachricht benötigen. Wenn Sie nicht auswählen, wird der Wert im Endpunktfeld verwendet. Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus.
        • REST-Methode: Aktivieren Sie dieses Kontrollkästchen, wenn Sie eine REST-Methode benötigen. Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Methode aus der Liste aus.
      Hinweis:
      Die Felder REST-Nachricht und REST-Methode werden verfügbar, wenn die Option REST-Nachricht ausgewählt wird.
      URL Geben Sie entweder die URL des TAXII-Server-Discovery-Service oder die spezifische API-Stamm-URL basierend auf dem ausgewählten Konfigurationstyp ein.
      Erweiterter Abschnitt
      Erweitert Aktivieren Sie das Kontrollkästchen, um ein anderes Integrationsskript und einen anderen Berichtsprozessor auszuwählen. Stellen Sie sicher, dass die ausgewählten Skripts mit der ausgewählten TAXII-Version kompatibel sind. Basierend auf der TAXII-Version und Authentifizierung werden diese Skripts standardmäßig automatisch ausgefüllt.
      Integrationsskript Ruft einen Aufruf der REST-Endpunkt-URL-API unter Verwendung der Authentifizierungsparameter wie Authentifizierungstyp Anwendername/Passwort/API-Schlüssel und der Header auf, die mit der Anforderung übergeben werden sollen. Anschließend ruft das Skript die erkennbaren Elemente oder STIX-Daten der Indikatoren ab, die für verfügbar sind spezifischen Feed
      Hinweis:
      Die abgerufenen Daten sind nur die Rohdaten (es werden keine Datensätze erstellt), die an den Integrationsprozess angehängt werden und dann im Abschnitt „ Integrationsausführung “ angezeigt werden können.
      Im Basissystem sind die folgenden anwenderdefinierten Skripteinbindungen aufgeführt, die in der Anwendung für die Integrationsskripts bereitgestellt werden:
      • TAXIIV2_0QueryParamAPIKeyIntegrationScript
      • TAXIIV2_0BasicAuthIntegrationScript
      • TAXIIV2_1QueryParamAPIKeyIntegrationScript
      • TAXIIV2_1BasicAuthIntegrationScript
      Das standardmäßige Integrationsskript basiert auf dem von Ihnen ausgewählten Feed-Typ. Die Skripteinbindungen führen einen einfachen REST-Aufruf aus, speichern die Antwort als Anhang und geben den Anhang dann an den Prozessor zurück.
      Berichtsprozessor-Skript Der Berichtsprozessor löst einen Aufruf an die REST-Endpunkt-URL aus.

      Im Basissystem unten befinden sich die anwenderdefinierten Skripteinbindungen, die innerhalb der Anwendung für die Integrationsskripts TAXIIV2CollectionDataProcessor bereitgestellt werden.

      Füllen Sie die Felder im Abschnitt „Zeitplanung“ entsprechend aus.

      Tabelle : 3. Zeitplanung
      Feld Beschreibung
      Ausführungshäufigkeit von Sammlungen Das Planungsintervall, das auf die TAXII-Erfassungsdatensätze angewendet wird. Die Ausführungshäufigkeit für eine TAXII-Sammlung kann in der Formularansicht der TAXII-Sammlung bei Bedarf geändert werden.
      Hinweis:
      Diese Einstellung wird standardmäßig auf alle abgerufenen TAXII-Sammlungen angewendet. Bei Bedarf besteht eine Option zum Überschreiben der Einstellung in TAXII-Sammlungen.
      Weitere Informationen finden Sie unter Geplante Aufgaben und Automatische Ausführung eines Skripts Ihrer Wahl.
      Daten abrufen von Startdatum, ab dem die Daten abgerufen werden müssen. In diesem Feld sollte die Zeit festgelegt werden, ab der die Daten aus der entsprechenden Quelle erfasst werden müssen. Sobald dieses Feld festgelegt ist, ruft die nächste Erfassungsausführung die Daten ab der konfigurierten Zeit ab, und nachfolgende Erfassungsausführungen rufen inkrementelle Daten ab.

      Beispiel: Quelle ist so geplant, dass die Daten stündlich erfasst werden. Der Anwender legt „Daten abrufen von “ am 12. Januar um 9:30 Uhr auf 6:00 Uhr fest. Die Erfassung, die am 12. Januar um 10:00 Uhr ausgelöst wird, würde die Daten vom 12. Januar 6:00 Uhr bis zum 12. Januar 10:00 Uhr abrufen. Bei der nächsten Erfassung, die um 11:00 Uhr ausgelöst wird, werden nur die inkrementellen Daten vom 12. Januar, 10:00 Uhr, bis zum 12. Januar, 11:00 Uhr abgerufen.

      Hinweis:
      Dies bedeutet, dass die geplanten Ausführungen ab dem angegebenen Datum inkrementell Daten abrufen.
    6. Klicken Sie auf Verbindung validieren
      Es wird eine Informationsmeldung angezeigt, dass die TAXII-Feed-Verbindung erfolgreich hergestellt wurde. Um die Sammlungen abzurufen, fahren Sie mit dem nächsten Schritt fort.
    7. Klicken Sie auf TAXII-Sammlungen abrufen.
      Hinweis:
      Wenn Fehler auftreten, wird eine Fehlermeldung angezeigt, dass beim Abrufen von TAXII-Sammlungen ein Fehler aufgetreten ist. Weitere Details finden Sie in den Protokollen.

      Die TAXII-Sammlungen werden im Abschnitt TAXII-Sammlungen angezeigt und sind standardmäßig deaktiviert.

    8. Aktivieren Sie die TAXII-Sammlungen, um die in diesen TAXII-Sammlungen verfügbaren STIX-Objekte abzurufen.