Configurer un nouveau flux TAXII

  • Rversion finale: Xanadu
  • Mis à jour 26 août 2024
  • 5 minutes de lecture

    • Vous pouvez gérer des flux TAXII pour partager des informations au format STIX. Chaque flux TAXII contient une ou plusieurs collections TAXII.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à la Espaces de travail > Threat Intelligence Security Center.
    2. Cliquez sur l’icône Intégrations .
    3. Sélectionner Flux de connaissance des menaces > STIX TAXII > Flux TAXII.
      Remarque :
      Configurez le flux TAXII pour qu’il serve de profil pour toutes les collections TAXII qu’il contient.
    4. Cliquez sur Configurer une nouvelle source.
      La page Configure new TAXII Feed (Configurer un nouveau flux TAXII) s’affiche.
    5. Renseignez les champs du formulaire.
      Tableau 1. Créer une source de données
      Champ Description
      Nom Donnez un nom au flux.
      Description Description du flux.
      Type de source Type de source fourni pour le flux, par exemple Open Source, Source Premium, etc. Les types de sources disponibles sont les suivants :
      • Gouvernement
      • ISACs
      • Source ouverte
      • Source premium
      • Autre source
      Logo Joignez le logo du flux source.
      Secteur Sélectionnez la catégorie de secteur à laquelle la source de données de flux s’applique, par exemple Aérospatiale, Agriculture, etc.

      Renseignez les champs de la section Configuration, selon vos besoins.

      Tableau 2. Configuration
      Champ Description
      Version TAXII Sélectionnez la version TAXII du serveur TAXII qui doit être configurée. Les versions prises en charge sont 2.0 et 2.1.
      Type de configuration Fournissez un type de configuration pour extraire les collectes TAXII. Les valeurs disponibles sont les suivantes :
      • URL du service Discovery : choisissez l’URL du service Discovery pour extraire les collections de toutes les racines d’API disponibles dans le service Discovery du serveur TAXII.
      • URL racine de l’API : choisissez l’URL racine de l’API pour extraire les collections de la racine d’API spécifique du serveur TAXII.
      Authentification Sélectionnez l’option requise dans la liste déroulante si l’authentification est requise. Les options disponibles sont les suivantes :
      • Aucun : sélectionnez cette option si aucune authentification n’est requise.
      • Basique : sélectionnez cette option pour fournir un nom d’utilisateur et un mot de passe.
      • Clé API : sélectionnez cette option pour fournir une clé API.
      • Choisissez un message REST : sélectionnez cette option pour tout autre type d’authentification. Les options de message REST sont les suivantes :
        • Utiliser le message REST : cochez cette case si vous avez besoin d’un message REST pour créer un message REST prédéfini. Si vous ne sélectionnez pas, la valeur du champ de point de terminaison sera utilisée. Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste.
        • Méthode REST : cochez cette case si vous avez besoin d’une méthode REST. Cliquez sur l’icône de recherche et sélectionnez la méthode REST dans la liste.
      Remarque :
      Les champs Message REST et Méthode REST deviennent disponibles lorsque l’option de message REST est sélectionnée.
      URL Entrez l’URL du service de découverte du serveur TAXII ou l’URL racine de l’API spécifique en fonction du type de configuration sélectionné.
      Section avancée
      Avancés Cochez la case pour choisir un script d’intégration et un processeur de rapport différents. Assurez-vous que les scripts choisis sont compatibles avec la version TAXII sélectionnée. En fonction de la version et de l’authentification TAXII, ces scripts sont renseignés automatiquement par défaut.
      Script d'intégration Invoque un appel à l’API REST Endpoint URL à l’aide des paramètres d’authentification tels que le type d’authentification : nom d’utilisateur/mot de passe/clé API et les en-têtes à transmettre avec la demande, puis le script récupère les données STIX des observables ou des indicateurs disponibles pour le flux spécifique.
      Remarque :
      Les données extraites sont uniquement des données brutes (aucun enregistrement n’est créé) qui sont jointes au processus d’intégration et peuvent ensuite être visualisées dans la section Exécution de l’intégration .
      Dans le système de base, les scripts personnalisés inclus sont les suivants, qui sont mis en service dans l’application pour les scripts d’intégration :
      • TAXIIV2_0QueryParamAPIKeyIntegrationScript
      • TAXIIV2_0BasicAuthIntegrationScript
      • TAXIIV2_1QueryParamAPIKeyIntegrationScript
      • TAXIIV2_1BasicAuthIntegrationScript
      Le script d’intégration par défaut est basé sur le type de flux que vous sélectionnez. L’include de script exécute un appel REST simple, enregistre la réponse en tant que pièce jointe, puis renvoie la pièce jointe au processeur.
      Script de processeur de rapport Le processeur de rapport appelle un appel à l’URL du point de terminaison REST.

      Dans le système de base ci-dessous se trouvent les includes de scripts personnalisés, qui sont mis en service dans l’application pour les scripts d’intégration, TAXIIV2CollectionDataProcessor.

      Renseignez les champs de la section Planification, comme il convient.

      Tableau 3. Ordonnancement
      Champ Description
      Fréquence d'exécution des collectes Intervalle de planification qui sera appliqué aux enregistrements de collecte TAXII. La fréquence d’exécution d’une collecte TAXII peut être modifiée dans la vue du formulaire de collecte TAXII si nécessaire.
      Remarque :
      Ce paramètre sera appliqué par défaut à toutes les collections TAXII qui sont extraites. Il existe une option permettant de remplacer le paramètre dans TAXII Collections si nécessaire.
      Pour plus d’informations, consultez Travaux planifiés et Exécution automatique d’un script de votre choix.
      Extraire les données de Date de début à partir de laquelle les données doivent être extraites. Ce champ doit être défini avec l’heure à partir de laquelle les données doivent être ingérées à partir de la source correspondante. Une fois ce champ défini, l’exécution d’ingestion suivante extrait les données à partir de l’heure configurée et les exécutions d’ingestion consécutives récupèrent les données incrémentielles.

      Par exemple, la source est planifiée pour ingérer les données toutes les heures. L’utilisateur définit Extraire les données du 12 janvier à 6h00 le 12 janvier à 9h30, le déclenchement de l’ingestion le 12 janvier à 10h00 récupérerait les données du 12 janvier à 6h00 au 12 janvier à 10h00. La prochaine ingestion qui se déclenche à 11h00 récupère uniquement les données incrémentielles du 12 janvier à 10h00 au 12 janvier à 11h00.

      Remarque :
      Cela signifie que les exécutions planifiées extrairont les données de manière incrémentielle à partir de la date spécifiée.
    6. Cliquez sur Valider la connexion
      Un message d’information s’affiche indiquant que la connexion du flux TAXII a réussi. Pour extraire les collections, passez à l’étape suivante.
    7. Cliquez sur Get TAXII Collections (Obtenir les collections TAXII).
      Remarque :
      En cas d’erreur, un message d’erreur s’affiche indiquant qu’une erreur s’est produite lors de l’extraction des collectes TAXII et vérifiez les journaux pour plus de détails.

      Les collections TAXII sont affichées dans la section Collections TAXII et sont désactivées par défaut.

    8. Activez les collections TAXII pour récupérer les objets STIX disponibles dans ces collections TAXII.