Manual e automatizado Compartilhamento u cante f baixos
Esta seção descreve como configurar Compartilhamento manual via GUI e compartilhamento automatizado de inteligência entre TISC instâncias. Ele descreve a configuração de perfis de inteligência de entrada e saída, funções necessárias, configuração de autenticação e regras de exclusão nas instâncias de origem e de destino.
Configurando a instância do TISC de destino
Função necessária: sn_sec_tisc.admin
Pré-requisitos: Antes de começar, certifique-se de ter as funções apropriadas atribuídas.
Requisitos da função
| Etapa | Ação | Função necessária |
|---|---|---|
| Criar usuário de ingestão de API | Crie um usuário dedicado e atribua a função necessária | administrador (administrador do sistema) |
| Defina e gerencie as configurações de TISC | Execute as etapas de configuração restantes | sn_sec_tisc.admin |
| Inteligência de publicação via API | Autentique e envie dados de inteligência | sn_sec_tisc.api_post_intel (atribuído ao usuário de integração) |
- Crie um usuário com a função
sn_sec_tisc.api_post_intel:Crie um usuário dedicado no destino TISC e atribua o. m o.
sn_sec_tisc.api_post_intelfunção. Este usuário dedicado é usado para autenticar dados de inteligência de entrada enviados para a instância. - Configure um Perfil de Inteligência de Entrada :
- Navegar até .
- Selecione Perfis de compartilhamento Intel de entrada .
- Crie um novo perfil. Para obter mais informações, consulte Configurar perfis de compartilhamento Intel de entrada.
- Em Usuário para autenticação selecione o usuário criado na etapa anterior.
- Defina o. Formato de dados para STIX 2,1 .
- Salvar e. habilitar O perfil para permitir que a instância do TISC de destino receba inteligência.
- Selecione . ID do perfil de cópia Para copiar o ID do perfil.Nota:Você precisa do ID do perfil ao configurar o perfil de inteligência de saída na origem TISC instância. Para obter mais informações, consulte Configurar perfis de compartilhamento Intel de entrada.
Configurando a instância do TISC de origem
- Configure regras de compartilhamento globais : Certifique-se de que os itens a seguir estejam configurados e publicados com base em seus requisitos:
- Regras de exclusão de dados da Intel de saída. Para obter o procedimento detalhado, consulte Configuração da regra de exclusão de dados da Intel de saída.
- Controles de compartilhamento de Intel de saída. Para obter o procedimento detalhado, consulte Configuração de controles de compartilhamento da Intel de saída.
- Criar um perfil de Inteligência de saída:
- Crie um novo perfil de saída para gerenciar o processo de compartilhamento de dados. Para mais detalhes, consulte Configurar perfis de compartilhamento Intel de saída.
- Especifique o URL do endpoint da API como:
.https://{instance name} /api/sn_sec_tisc/v1/tisc_intel_sharing_api/post_intel - Defina o. Autenticação necessária para verdadeiro.
- Insira as credenciais do usuário criado no destino TISC instância (consulte a primeira etapa da configuração de destino) para o nome de usuário e a senha.
- Configure cabeçalhos de solicitação : No Cabeçalhos a serem passados com a solicitação , inclua o seguinte:
Profile-GUID: {Profile ID from the target TISC instance}Shared-Intel-Format: STIX 2.1 - Obtendo o ID do perfil: O ID do perfil necessário para o cabeçalho pode ser encontrado no destino TISC Perfil de inteligência de entrada da instância. Use o. ID do perfil de cópia botão para recuperá-lo. Para obter mais informações, consulte Configurar perfis de compartilhamento Intel de entrada.
- Salvar e. habilitar o perfil de saída.
Após a configuração:
- Salve o perfil.
- Valide a conexão para confirmar se ela está funcionando corretamente.
- Ative o perfil para ativar o compartilhamento de dados de inteligência.