Tous les flux

Le système de base comprend une série de cartes pour chacun des flux que vous pouvez activer et utiliser.

Les flux peuvent être affichés en accédant à Espaces de travail > Threat Intelligence Security Center > Intégrations > Flux de connaissance des menaces > Tous les flux.

Actions sur la vue Tous les flux

La section Tous les flux vous permet d’effectuer les actions suivantes.

Tableau 1. Vue Actions sur toutes les intégrations

Action	Description
Tout	Ce menu déroulant permet de filtrer les flux en fonction de leur état actuel. Vous pouvez filtrer en fonction des états suivants : Tout : affiche tous les flux de la page. Il s'agit de l'option par défaut. Activé : affiche tous les flux qui sont dans un état activé. Désactivé : affiche tous les flux qui sont dans un état désactivé. Brouillon : affiche tous les flux qui sont à l’état de brouillon.
	Utilisez cette action pour afficher tous les flux sous forme de cartes.
	Utilisez cette action pour afficher tous les flux sous la forme d’une vue de liste.
	Utilisez cette action pour actualiser la page.
	Utilisez cette action pour trier toutes les intégrations en fonction des éléments suivants : Dernière modification (récente) Dernière modification (la plus ancienne) Nom (A-Z) Nom (de Z à A)
Tous les éléments	Utilisez cette action pour filtrer et répertorier les vignettes du flux Threat Intelligence par type de source ou type de flux. Type de source : Source ouverte Autre source Source premium Type de flux : CSV Flux personnalisé JSON MISP RSS STIX HTTPs Texte
Rechercher dans le catalogue	Utilisez cette action pour rechercher des flux en fonction du nom et de la description dans le catalogue.

Configurer une nouvelle source de données du flux Threat Intelligence

Pour configurer une nouvelle source de données de flux Threat Intelligence, procédez comme suit :

1. Accédez à la Espaces de travail > Threat Intelligence Security Center.
2. Cliquez sur l’icône Intégrations .
3. Sélectionner Flux de connaissance des menaces > Tous les flux.
4. Cliquez sur Configurer une nouvelle source. Les différents types de flux s’affichent.

   

5. Sélectionnez le type de flux correspondant. Par exemple, MISP.
6. Cliquez sur Sélectionner.
7. Renseignez les champs du formulaire.

   Tableau 2. Créer une source de données

   Champ	Description
   Nom	Donnez un nom au flux.
   Description	Description du flux.
   Type de flux	Type de flux. Par exemple, MISP. Par défaut, cette valeur s’affiche en fonction du type de flux que vous avez sélectionné dans le catalogue.
   Logo	Joignez le logo du flux source.
   Secteur	Sélectionnez la catégorie de secteur à laquelle la source de données de flux s’applique, par exemple Aérospatiale, Agriculture, etc.
   Type de source	Sélectionnez le type de source dans la liste des types de sources disponibles. La liste des sources disponibles est la suivante : Gouvernement ISACs Source ouverte Source premium Autre source

   Renseignez les champs de la section Configuration, selon vos besoins.

   Tableau 3. Configuration

   Champ	Description
   Période d'expiration (jours)	Saisissez la période d’expiration du flux en jours. Par exemple, 180 jours. Remarque : Quelles que soient les données ingérées à partir de la source, elles expirent 180 jours après l’ingestion.
   Utiliser le message REST	Cochez la case Utiliser le message REST si vous devez utiliser la fonctionnalité Message REST/Méthode REST fournie par Now Platform. Si cette case n’est pas cochée, l’application utilise le point de terminaison fourni dans l’URL du point de terminaison REST pour extraire les données du flux. Pour plus d’informations, consultez Service Web REST sortant dans la Now Platform documentation. Remarque : Les champs Message REST et Méthode REST sont obligatoires lorsque vous sélectionnez le message REST.
   Message REST	Sélectionnez l’enregistrement de message REST dans la liste des enregistrements de message REST qui sont déjà configurés dans l’instance. Pour plus d’informations, consultez Service Web REST sortant dans la documentation de Now Platform. Remarque : Sélectionnez cette valeur lorsque vous avez besoin d’afficher des en-têtes spécifiques et de définir les enregistrements connexes REST à l’aide de l’option de message REST.
   Méthode REST	Sélectionnez la méthode REST dans la liste des méthodes REST disponibles configurées pour le message REST sélectionné. Pour plus d’informations, consultez Service Web REST sortant dans la documentation de Now Platform.
   Fiabilité	Définissez le score de confiance pour tous les enregistrements applicables qui sont ingérés via ce flux spécifique. Remarque : Définissez la confiance entre 0 et 100 pour cette source.
   URL du point de terminaison REST	Entrez l’URL du point de terminaison REST où les données sont hébergées par la source de données.
   Authentification requise	Cochez cette case si l’authentification est requise pour votre nouvelle source de données. Remarque : Ajoutez une déclaration mentionnant que cela ne s’applique que lorsque l’URL du point de terminaison REST est utilisée pour récupérer les données.
   Type d'authentification	Type d’authentification pour le flux source. Voici les types d’authentification configurés et approvisionnés au sein du système de base pour les utilisateurs : ID API / Clé API ID de l’API/Secret de l’API Clé API Clé API/Secret API Nom d’utilisateur / Mot de passe API / Clé API Authentification de base Remarque : Les types d’authentification dans le système de base pour le type de flux source personnalisé sont ID client et Secret client.
   En-têtes à transmettre avec la demande	Tous les en-têtes à transmettre avec les demandes peuvent être fournis dans le mappage d’en-tête de demande. L’en-tête doit être fourni dans une paire clé-valeur séparée par deux-points (' :'). Chaque paire clé-valeur d’en-tête doit être fournie dans une nouvelle ligne. Pour fournir des paramètres d’authentification en tant que valeurs d’en-tête, encadrez l’étiquette d’authentification requise avec « ${ » et « }$ ». Par exemple, x-api-key :${API Key}$.
   Avancés	Cochez cette case pour définir un script d’intégration personnalisé et un script de processeur de rapport. Remarque : Lorsque vous cochez cette case, les champs Script d’intégration et Processeur de rapport s’affichent pour vous permettre de sélectionner les scripts personnalisés.
   Script d'intégration	Le script d’intégration appelle un appel à l’URL du point de terminaison REST à l’aide des paramètres d’authentification et des en-têtes configurés dans le flux, puis le script récupère les données disponibles à partir du flux spécifique. Dans le système de base, les scripts personnalisés inclus sont les suivants, qui sont mis en service dans l’application pour les scripts d’intégration : FeedDatasourceIntegrationBase MITRESourceIntegration RSSFeedDatasourceIntegration (en anglais seulement) SimpleFeedDatasourceIntegration (en anglais seulement) SimpleMISPFeedDatasourceIntegration Le script d’intégration par défaut est basé sur le type de flux que vous sélectionnez. Par exemple, si vous sélectionnez le type de flux MISP, qui est un format standard pour traiter et extraire les données, le script d’intégration est SimpleFeedDatasourceIntegration. Remarque : Pour les scripts d’intégration personnalisés, vous pouvez créer un include de script en étendant FeedDatasourceIntegrationBase et en remplaçant les méthodes requises.
   Script de processeur de rapport	Le script de processeur de rapport traite les données extraites du flux à l’aide d’un script d’intégration. Dans le système de base, les scripts personnalisés inclus sont les suivants, qui sont mis en service dans l’application pour les scripts d’intégration : FeedDatasourceResponseProcessor MITRECollectionDataProcessor RSSFeedDatasourceResponseProcessor SimpleFeedDatasourceResponseProcessor SimpleMISPFeedDatasourceResponseProcessor TAXIIV2CollectionDataProcessor Le processeur de rapport par défaut pour STIX HTTPS est TAXIIV2CollectionDataProcessor. Par défaut, cette option s’affiche et vous ne pouvez pas modifier ou sélectionner un autre processeur de rapport.

   Renseignez les champs de la section Planification, comme il convient.

   Tableau 4. Ordonnancement

   Champ	Description
   Exécuter	Définissez la fréquence à laquelle vous souhaitez ingérer les enregistrements. Le flux s’exécutera et s’exécutera en fonction de l’intervalle de tâche de planification. Les intervalles de tâches disponibles sont les suivants : Quotidien Hebdomadaire Mensuel Périodiquement Une fois Sur demande Calendrier d'entreprise : début de l'entrée Calendrier d'entreprise : fin de l'entrée Remarque : Par défaut, la fréquence est définie sur Sur demande. Pour plus d’informations, consultez Travaux planifiés et Exécution automatique d’un script de votre choix.
   Extraire les données de	Date de début à partir de laquelle les données doivent être extraites. Ce champ doit être défini avec l’heure à partir de laquelle les données doivent être ingérées à partir de la source correspondante. Une fois ce champ défini, l’exécution d’ingestion suivante extrait les données à partir de l’heure configurée et les exécutions d’ingestion consécutives récupèrent les données incrémentielles. Par exemple, la source est planifiée pour ingérer les données toutes les heures. L’utilisateur définit Extraire les données du 12 janvier à 6h00 le 12 janvier à 9h30, le déclenchement de l’ingestion le 12 janvier à 10h00 récupérerait les données du 12 janvier à 6h00 au 12 janvier à 10h00. La prochaine ingestion qui se déclenche à 11h00 récupère uniquement les données incrémentielles du 12 janvier à 10h00 au 12 janvier à 11h00. Remarque : Cela signifie que les exécutions planifiées extrairont les données de manière incrémentielle à partir de la date spécifiée.

   Tableau 5. Balises

   Champ	Description
   Sélectionner des balises	Utilisez les balises pour annoter ou marquer les enregistrements qui sont ingérés dans le système à partir de cette source. Commencez à saisir le nom de la balise dans la barre de recherche pour choisir les balises disponibles dans l’application ou saisissez un nouveau nom de balise et cliquez sur Ajouter pour l’attribuer à la source.

8. Cliquez sur l’action Enregistrer pour stocker et créer le flux.

   Les détails fournis sont validés et, par défaut, l’état des flux est désactivé.

9. (Facultatif) Cliquez sur l’action Enregistrer en tant que brouillon pour ne stocker les configurations de flux qu’en tant que brouillons. Les utilisateurs ne peuvent pas activer un flux lorsqu’il est enregistré à l’état de brouillon.

   Si vous n’êtes pas sûr des détails de la configuration, vous pouvez utiliser l’option Enregistrer comme brouillon . Une fois que vous avez obtenu les détails de la configuration, vous pouvez remplir les informations restantes dans la version brouillon et la créer.

10. Pour activer le flux, cliquez sur Activer.
    Le flux est activé avec succès. Vous pouvez également activer, désactiver ou supprimer un flux particulier à l’aide du menu Actions de la vignette du flux requis sur la page Catalogues ou Flux Intel de menaces .

    Remarque :

    Si la fréquence d’exécution est définie sur Sur demande dans la section Planification de la page du formulaire de source de données, chaque fois que vous activez l’intégration, une invite de message s’affiche pour avertir les utilisateurs qu’ils ont activé la source avec succès. Vous devez modifier la fréquence d'exécution pour activer la configuration source et ingérer automatiquement les données.
11. Cliquez sur Activer pour activer l’enregistrement.
    Une fois que l’enregistrement de source de données de flux est activé, vous pouvez exécuter l’enregistrement pour exécuter l’intégration.

    Remarque :

    L’enregistrement de la source de données est étiqueté et indiqué comme activé. De même, vous pouvez désactiver le flux de source de données en cliquant sur le bouton Désactiver .
12. Cliquez sur Supprimer pour supprimer l’enregistrement de source de données de flux.
13. Sélectionnez la section Exécutions d’intégrations pour vérifier les détails de l’exécution.

Types de menaces Flux Intel

Pour les étapes suivantes de la procédure, reportez-vous à la section respective pour configurer un type de flux spécifique. Flux Threat Intelligence.