Configurer un nouveau TAXII flux

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Vous pouvez gérer TAXII les flux pour le partage d’informations au format STIX. Chaque TAXII flux contient une ou plusieurs TAXII collections.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    2. Sélectionnez l’icône Intégrations.
    3. Sélectionner Flux de Threat Intelligence > STIX TAXII > Flux TAXII.
      Remarque :
      Configurez TAXII le flux de sorte qu’il serve de profil pour toutes les TAXII collections qu’il contient.
    4. Sélectionnez Configurer une nouvelle source.
      La page Configurer un nouveau TAXII flux s’affiche.
    5. Remplissez les champs du formulaire.
      Tableau 1. Créer une source de données
      Champ Description
      Nom Nom du flux.
      Description Description du flux.
      Type de source Type de source fournie pour le flux. Les types de source disponibles sont les suivants :
      • Gouvernement
      • ISACs
      • Open source
      • Source premium
      • Autre source
      Logo Logo du flux source.
      Secteur Catégorie d’industrie à laquelle la source de données du flux s’applique.

      Renseignez les champs de la section Configuration comme il convient.

      Tableau 2. Configuration
      Champ Description
      Version TAXII Version TAXII du serveur TAXII à configurer. Les versions prises en charge sont 2.0 et 2.1.
      Type de configuration Type de configuration pour extraire les collectes TAXII. Les valeurs disponibles sont les suivantes :
      • URL du service Découverte : choisissez l’URL du service Découverte pour extraire les collections de toutes les racines d’API disponibles dans le service de découverte du serveur TAXII.
      • URL racine de l’API : choisissez l’URL racine de l’API pour extraire les collections à partir de la racine d’API spécifique du serveur TAXII.
      Authentification Option requise dans la liste si l’authentification est requise. Les options disponibles sont les suivantes :
      • Aucune : sélectionnez cette option si aucune authentification n’est requise.
      • De base : sélectionnez cette option pour fournir un nom d’utilisateur et un mot de passe.
      • Clé API : sélectionnez cette option pour fournir une clé API.
      • Choisir un message REST : sélectionnez cette option pour tout autre type d’authentification. Les options du message REST sont les suivantes :
        • Utiliser le message REST : cochez cette case si vous avez besoin d’un message REST pour créer un message REST prédéfini. Si vous décochez cette case, le système utilise la valeur du champ de point de terminaison. Sélectionnez l’icône de recherche, puis sélectionnez le message REST dans la liste.
        • Méthode REST : cochez cette case si vous avez besoin d’une méthode REST. Sélectionnez l’icône de recherche, puis sélectionnez la méthode REST dans la liste.
      Remarque :
      Les champs Message REST et Méthode REST sont définis sur Disponible lorsque l’option Message REST est sélectionnée.
      URL URL du service de découverte du serveur TAXII ou URL racine de l’API spécifique en fonction du type de configuration sélectionné.
      Section avancée
      Avancé Cochez la case pour choisir un script d’intégration et un processeur de rapport différents. Vérifiez que les scripts choisis sont compatibles avec la version TAXII sélectionnée. En fonction de la version et de l’authentification TAXII, ces scripts sont renseignés automatiquement par défaut.
      Script d'intégration Appelle un appel à l’API URL du point de terminaison REST à l’aide des paramètres d’authentification. Le script récupère les données STIX des observables ou des indicateurs disponibles pour le flux spécifique.
      Remarque :
      Les données extraites sont uniquement des données brutes sans enregistrement créé. Les données sont jointes au processus d’intégration et peuvent être consultées dans la section Exécution de l’intégration .
      Le système de base inclut des includes de script personnalisés mis en service dans l’application pour les scripts d’intégration :
      • TAXIIV2_0QueryParamAPIKeyIntegrationScript
      • TAXIIV2_0BasicAuthIntegrationScript
      • TAXIIV2_1QueryParamAPIKeyIntegrationScript
      • TAXIIV2_1BasicAuthIntegrationScript
      Le script d’intégration par défaut est basé sur le type de flux sélectionné. L’include de script exécute un appel REST simple, enregistre la réponse sous forme de pièce jointe et renvoie la pièce jointe au processeur.
      Script de processeur de rapport Le processeur de rapports appelle l’URL du point de terminaison REST.

      Le système de base inclut le script personnalisé include TAXIIV2CollectionDataProcessor, qui est mis en service dans l’application pour les scripts d’intégration.

      Renseignez les champs de la section Planification comme il convient.

      Tableau 3. Ordonnancement
      Champ Description
      Fréquence d'exécution des collectes Intervalle de planification appliqué aux enregistrements de TAXII collecte. La fréquence d’exécution d’une TAXII collection peut être modifiée dans la vue du formulaire de TAXII collecte si nécessaire.
      Remarque :
      Ce paramètre est appliqué par défaut à toutes les collections extraites TAXII . Il existe une option permettant de remplacer le paramètre dans les collections TAXII, si nécessaire. TAXII
      Pour plus d’informations, consultez Travaux planifiés et comment exécuter automatiquement un script de votre choix.
      Extraire les données de Date de début à partir de laquelle les données doivent être extraites. Définissez ce champ avec l’heure à partir de laquelle les données doivent être ingérées à partir de la source correspondante. Après avoir défini ce champ, l’exécution d’ingestion suivante extrait les données de l’heure configurée et les exécutions consécutives extraient les données incrémentielles.

      Par exemple, une source est planifiée pour ingérer des données toutes les heures. Si vous définissez l’option Extraire les données du 12 janvier à 6 h 00 le 12 janvier à 9 h 30, le déclenchement de l’ingestion le 12 janvier à 10 h 00 extrait les données du 12 janvier à 6 h 00 au 12 janvier à 10 h 00. L’ingestion suivante à 11h00 récupère uniquement les données incrémentielles du 12 janvier à 10h00 au 12 janvier à 11h00.

      Remarque :
      Cela signifie que les exécutions planifiées extrairont les données de façon incrémentielle à partir de la date spécifiée.
    6. Sélectionner Valider la connexion
      Un message d’information s’affiche indiquant que la connexion du TAXII flux est réussie. Pour extraire les collections, passez à l’étape suivante.
    7. Sélectionnez Obtenir les collections TAXII.
      Remarque :
      En cas d’erreurs, un message d’erreur s’affiche indiquant qu’une erreur s’est produite lors de l’extraction des TAXII collections et vérifiez les journaux pour plus de détails.

      Les TAXII collections sont affichées dans la TAXII section Collections et sont inactives par défaut.

    8. Activez les TAXII collections pour récupérer les objets STIX disponibles dans ces TAXII collections.