TAXII-basierte Freigabe

Die TAXII-basierte Freigabe ermöglicht einen strukturierten und standardisierten Austausch von Threat Intelligence zwischen TISC-Instanzen. In diesem Modell stellt die Quellinstanz Intelligenz über TAXII-Sammlungen bereit, und die Zielinstanz ruft diese Daten mithilfe eines konfigurierten TAXII-Feeds ab.

Konfigurieren der Quell-TISC-Instanz

Führen Sie die folgenden Schritte in der Quelle aus TISC Instanz, bevor die Zielinstanz konfiguriert wird.

1. Konfigurieren Sie globale Freigaberegeln :

   Stellen Sie sicher, dass Folgendes basierend auf Ihren Anforderungen konfiguriert und veröffentlicht wird:

   • Datenausschlussregeln für ausgehende Informationen
   • Freigabesteuerungen für ausgehende Informationen

2. Erstellen Sie TAXII-Sammlungen : Richtet die erforderlichen TAXII-Sammlungen in der Quelle ein TISC Instanz. Anweisungen finden Sie unter Erstellen Sie eine TAXII-Sammlung .

3. Erstellen Sie Vorlagen für ausgehende Intelligence-Freigabe : Erstellen und veröffentlichen Sie eine Vorlage für ausgehende Intelligence-Freigabe mit der erforderlichen Konfiguration für die TAXII-Freigabe. Anweisungen finden Sie unter Vorlagen für ausgehende Intelligence-Freigabe .
4. Fügen Sie der TAXII-Sammlung Datensätze hinzu : Sie können Datensätze mit einer der folgenden Methoden hinzufügen:
   • Ad-hoc-Hinzufügung über die grafische Anwenderoberfläche (GUI). Weitere Informationen finden Sie unter Fügen Sie einer TAXII-Sammlung Datensätze hinzu .
   • Automatisiertes Hinzufügen mithilfe von Flows. Weitere Informationen finden Sie unter Automatisieren Sie die Freigabe für TAXII-Sammlungen .
5. Erstellen Sie einen TAXII-API-Anwender für die Ziel-TISC-Instanz : Erstellen Sie einen dedizierten API-Anwender in der Quelle TISC Instanz für die Authentifizierung, wenn die Zielinstanz eine Verbindung herstellt, um Intelligence-Daten abzurufen.

   Weisen Sie die Rolle zu sn_sec_tisc.taxii_server_api_user .

Konfigurieren der TISC-Zielinstanz

Konfigurieren Sie nach Abschluss der Quellkonfiguration die Zielinstanz, um Intelligenz aus der Quelle abzurufen.

1. Erstellen Sie einen neuen TAXII-Feed : Im Ziel TISC Instanz erstellen Sie einen neuen TAXII-Feed. Weitere Informationen finden Sie unter Konfigurieren Sie einen neuen TAXII-Feed .
2. Konfigurieren Sie den Discovery-Service : Festgelegt Konfigurationstyp Bis Discovery-Service-URL Und geben Sie die folgende URL ein:

   https://{instance_name}/api/sn_sec_tisc/taxii_server/taxii2

3. Konfigurieren Sie Die Authentifizierung :
   • Wählen Sie Aus Standard Als Authentifizierungsmethode.
   • Geben Sie den Anwendernamen und das Passwort von an TAXII API-Anwender, der in der Quellinstanz erstellt wurde.
4. Speichern Die Konfiguration:

   Validieren Sie die Verbindung, und klicken Sie dann auf TAXII-Sammlungen abrufen Schaltfläche zum Abrufen der aktivierten TAXII Sammlungen aus der Quellinstanz.

5. Aktivieren und konfigurieren Sie die Erfassung :
   1. Navigieren Sie zu der Sammlung, die Sie erfassen möchten.
   2. Aktivieren Sie die Sammlung.
   3. Geben Sie an Abrufzeit Und die gewünschte Erfassungshäufigkeit.

   Alle Datensätze, die der Sammlung in der Quellinstanz nach der angegebenen Zeit hinzugefügt wurden, werden gemäß dem konfigurierten Zeitplan in die Zielinstanz abgerufen.