Todos os Feeds

O sistema base inclui uma série de cartões para cada um dos feeds que você pode habilitar e usar.

Os feeds podem ser exibidos navegando até Espaços > Central de segurança de inteligência contra ameaças > Integrações > Feeds de informações sobre ameaças > Todos os Feeds.

Ações na exibição Todos os feeds

A seção Todos os feeds permite que você execute as ações a seguir.

Tabela 1. Ações na exibição de todas as integrações

Ação	Descrição
Todos	Use este menu suspenso para filtrar feeds com base no estado atual. Você pode filtrar com base nos seguintes estados: Todos: exibe todos os feeds da página. Esta é a opção padrão. Habilitado: exibe todos os feeds que estão em um estado habilitado. Desabilitado: exibe todos os feeds que estão em um estado desabilitado. Rascunho: exibe todos os feeds que estão em estado de rascunho.
	Use esta ação para exibir todos os feeds na forma de cartões.
	Use esta ação para exibir todos os feeds na forma de uma exibição de lista.
	Use esta ação para atualizar a página.
	Use esta ação para classificar todas as integrações com base no seguinte: Última modificação (recente) Última modificação (mais antiga) Nome (A-Z) Nome (Z-A)
Todos os itens	Use esta ação para filtrar e listar os blocos de feed de inteligência contra ameaças por tipo de origem ou tipo de feed. Tipo de origem: Código aberto Outra origem Origem Premium Tipo de feed: CSV Feed personalizado JSON MISP RSS HTTPs do STIX Texto
Pesquisar no catálogo	Use esta ação para pesquisar feeds com base no nome e na descrição no catálogo.

Configurar nova fonte de dados do feed de inteligência contra ameaças

Para configurar uma nova fonte de dados de feed de inteligência contra ameaças, siga o procedimento:

1. Navegar até Espaços > Central de segurança de inteligência contra ameaças.
2. Clique no ícone Integrações.
3. Selecionar Feeds de informações sobre ameaças > Todos os Feeds.
4. Clique em Configurar nova origem. Os vários tipos de feed são exibidos.

   

5. Selecione o respectivo tipo de feed. Por exemplo, MISP.
6. Clique em “Selecionar”.
7. No formulário, preencha os campos.

   Tabela 2. Criar nova fonte de dados

   Campo	Descrição
   Nome	Insira um nome para o feed.
   Descrição	Descrição do feed.
   Tipo de feed	O tipo de feed. Por exemplo, MISP. Por padrão, este valor é exibido com base no tipo de feed que você selecionou no Catálogo.
   Logotipo	Anexe o logotipo do feed de origem.
   Setor	Selecione a categoria do setor, como Aeroespacial, Agrícola e assim por diante, para a qual a fonte de dados do feed se aplica.
   Tipo de Origem	Selecione o tipo de origem na lista de tipos de origem disponíveis. A lista de origens disponíveis é: Governo ISACs Código aberto Origem Premium Outra origem

   Preencha os campos na seção Configuração, conforme apropriado.

   Tabela 3. Configuração

   Campo	Descrição
   Período de expiração (dias)	Insira o período de expiração do feed em dias. Por exemplo, 180 dias. Nota: Quaisquer que sejam os dados ingeridos da origem, eles expirarão 180 dias após a ingestão.
   Usar Mensagem REST	Marque a caixa de seleção Usar Mensagem REST se precisar usar a funcionalidade Mensagem REST/Método REST fornecida por Now Platform. Se esta caixa de seleção não estiver marcada, a aplicação usará o endpoint fornecido em URL do endpoint REST para buscar os dados do feed. Para obter mais informações, consulte Serviço web REST de saída na documentação Now Platform. Nota: Os campos Mensagem REST e Método REST são obrigatórios ao selecionar a mensagem REST.
   Mensagem REST	Selecione o registro de Mensagem REST na lista de registros de mensagens REST que já estão configurados na instância. Para obter mais informações, consulte Serviço web REST de saída na documentação da Now Platform. Nota: Selecione este valor quando precisar exibir cabeçalhos específicos e definir os registros relacionados ao REST usando a opção de mensagem REST.
   Método REST	Selecione Método REST na lista de Métodos REST disponíveis configurados para a Mensagem REST selecionada. Para obter mais informações, consulte Serviço web REST de saída na documentação da Now Platform.
   Confiança	Defina a confiança de todos os registros aplicáveis que são ingeridos por meio deste feed específico. Nota: Defina a confiança entre 0 e 100 para esta origem.
   URL do endpoint REST	Insira a URL do endpoint REST em que os dados são hospedados pela fonte de dados.
   Autenticação Necessária	Marque esta caixa de seleção se a autenticação for necessária para sua nova fonte de dados. Nota: Adicione uma declaração mencionando que isso só se aplica quando a URL do endpoint REST estiver sendo usada para recuperar os dados.
   Tipo de autenticação	O tipo de autenticação do feed de origem. A seguir estão os tipos de autenticação que são configurados e provisionados no sistema de base para os usuários: ID de API/Chave de API ID da API/segredo da API Chave de API Chave de API/segredo de API Nome de usuário da API/senha da API/chave da API Autenticação básica Nota: Os tipos de autenticação no sistema de base para o tipo de feed de origem personalizado são ID do cliente e Segredo do cliente.
   Cabeçalhos a serem passados com a solicitação	Todos os cabeçalhos a serem passados com as solicitações podem ser fornecidos em Mapeamento de cabeçalho de solicitação. O cabeçalho deve ser fornecido em par de chave-valor separado por dois pontos (':'). Cada par de valores de chave de cabeçalho deve ser fornecido em uma nova linha. Para fornecer parâmetros de autenticação como valores de cabeçalho, coloque o rótulo de autenticação necessário entre '${' e '}$'. Por exemplo, x-api-key:${Chave de API}$.
   Avançado	Marque esta caixa de seleção para definir o script de integração personalizado e o script do processador de relatório. Nota: Quando você marcar esta caixa de seleção, os campos Script de integração e Processador de relatório serão exibidos para você selecionar os scripts personalizados.
   Script de integração	O script de integração invoca uma chamada para a URL do endpoint REST usando os parâmetros de autenticação e os cabeçalhos conforme configurados no feed e, em seguida, o script busca os dados que estão disponíveis no feed específico. No sistema de base, a seguir estão as inclusões de scripts personalizados, que são provisionadas na aplicação para os scripts de integrações: FeedDatasourceIntegrationBase MITRESourceIntegration RSSFeedDatasourceIntegration SimpleFeedDatasourceIntegration SimpleMISPFeedDatasourceIntegration O script de integração padrão é baseado no tipo de feed selecionado. Por exemplo, se você selecionar o tipo de feed MISP, que é um formato padrão para processar e buscar os dados, o script de integrações será SimpleFeedDatasourceIntegration. Nota: Para os scripts de integração personalizada, você pode criar uma inclusão de script estendendo FeedDatasourceIntegrationBase e substituindo os métodos necessários.
   Processador de relatórios	O script do processador de relatório processa os dados obtidos do feed usando o script de integração. No sistema de base, a seguir estão as inclusões de scripts personalizados, que são provisionadas na aplicação para os scripts de integrações: FeedDatasourceResponseProcessor MITRECollectionDataProcessor RSSFeedDatasourceResponseProcessor SimpleFeedDatasourceResponseProcessor SimpleMISPFeedDatasourceResponseProcessor TAXIIV2CollectionDataProcessor O processador de relatório padrão para STIX HTTPS é TAXIIV2CollectionDataProcessor. Por padrão, esta opção é exibida e você não pode modificar ou selecionar nenhum outro processador de relatório.

   Preencha os campos na seção Programação, conforme apropriado.

   Tabela 4. Agendamento

   Campo	Descrição
   Executar	Defina a frequência com que você deseja ingerir os registros. O feed será executado com base no intervalo de programação do trabalho. Os intervalos de trabalho disponíveis são: Diariamente Semanalmente Mensalmente Periodicamente Uma vez Sob demanda Calendário comercial: início da entrada Calendário comercial: fim da entrada Nota: Por padrão, a frequência é definida como Sob demanda. Para obter mais informações, consulte Trabalhos agendados e como Executar automaticamente um script de sua escolha.
   Buscar dados de	A data de início a partir da qual os dados precisaram ser obtidos. Este campo deve ser definido com a hora a partir da qual os dados precisam ser ingeridos da origem correspondente. Depois que este campo for definido, a próxima execução de ingestão buscará os dados do tempo configurado e as execuções de ingestão consecutivas buscarão dados incrementais. Por exemplo, a Origem está programada para ingerir os dados a cada hora. Se o usuário definir Buscar dados de como 12 de janeiro às 6h em 12 de janeiro às 9h30, o acionamento da ingestão em 12 de janeiro às 10h buscará os dados de 12 de janeiro às 6h a 12 de janeiro às 10h. A próxima ingestão que é acionada às 11h buscará somente os dados incrementais de 12 de janeiro às 10h a 12 de janeiro às 11h. Nota: Isso significa que as execuções programadas buscarão dados de forma incremental a partir da data especificada.

   Tabela 5. Marcadores

   Campo	Descrição
   Selecionar marcadores	Use os marcadores para anotar ou marcar registros que são ingeridos no sistema a partir desta origem. Comece a inserir o nome do marcador na barra de pesquisa para escolher os marcadores disponíveis na aplicação ou insira um novo nome de marcador e clique em Adicionar para atribuí-lo à origem.

8. Clique na ação Salvar para armazenar e criar o feed.

   Os detalhes fornecidos são validados e, por padrão, o status dos feeds está desabilitado.

9. (Opcional) Clique na ação Salvar como rascunho para armazenar somente as configurações de feed como rascunho. Os usuários não podem habilitar um feed quando ele é salvo como rascunho.

   Se você não tiver certeza sobre os detalhes da configuração, poderá usar a opção Salvar como rascunho. Depois de obter os detalhes da configuração, você pode preencher as informações restantes na versão de rascunho e criá-la.

10. Para habilitar o feed, clique em Habilitar.
    O feed foi habilitado com sucesso. Você também pode habilitar, desabilitar ou excluir um feed específico usando o menu Ações do bloco de feed necessário na página Catálogo ou Feeds de informações sobre ameaças.

    Nota:

    Se a Frequência de execução estiver definida como Sob demanda na seção Programação da página do formulário da fonte de dados, sempre que você habilitar a integração, um aviso de mensagem será exibido alertando os usuários de que agora eles habilitaram a origem com sucesso. Você deve mudar a frequência de execução para habilitar a configuração de origem para ingerir dados automaticamente.
11. Clique em Habilitar para habilitar o registro.
    Depois que o registro da fonte de dados do feed estiver habilitado, você poderá executar o registro para executar a integração.

    Nota:

    O registro da fonte de dados é rotulado e indicado como habilitado. Da mesma forma, você pode desabilitar o feed da fonte de dados clicando no botão Desabilitar.
12. Clique em Excluir para excluir o registro da fonte de dados do feed.
13. Selecione a seção Executar integrações para verificar os detalhes da execução.

Tipos de feeds de informações sobre ameaças

Para as próximas etapas do procedimento, consulte a respectiva seção para configurar cada tipo de feed específico. Feeds de inteligência contra ameaças.