新しい TAXII フィードを構成する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:6分

    • STIX 形式の情報を共有するために、TAXII フィードを管理できます。各 TAXII フィードには、1 つ以上の TAXII 収集が含まれています。

    始める前に

    必要なロール:sn_sec_tisc.admin

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. 統合アイコンをクリックします。
    3. 選択 脅威インテルフィード > STIX TAXII > TAXII フィード.
      注:
      TAXII フィードがすべての TAXII 収集のプロファイルとして機能するように構成します。
    4. [新しいデータソースを構成 (Configure new source)] をクリックします。
      [新しい TAXII フィードを構成する] ページが表示されます。
    5. フォームのフィールドに入力します。
      表 : 1. 新しいデータソースを作成
      フィールド 説明
      名前 フィードの名前を入力します。
      説明 フィードの説明。
      ソースタイプ フィードに提供されるソースのタイプ (オープンソース、プレミアムソースなど)。利用可能なソースタイプは、次のとおりです。
      • 政府
      • ISAC
      • オープンソース
      • プレミアムソース
      • その他のソース
      ロゴ ソースフィードのロゴを添付します。
      業種 フィードのデータソースが適用される産業カテゴリ (航空宇宙、農業など) を選択します。

      必要に応じて、[構成] セクションのフィールドに入力します。

      表 : 2. 構成
      フィールド 説明
      TAXII バージョン 構成が必要な TAXII サーバーの TAXII バージョンを選択します。サポートされているバージョンは 2.0 と 2.1 です。
      構成タイプ TAXII 収集をフェッチする構成タイプを指定します。使用可能な値:
      • ディスカバリーサービス URL:ディスカバリーサービス URL を選択して、TAXII サーバーのディスカバリーサービスで使用可能なすべての API ルートからコレクションをフェッチします。
      • API ルート URL:API ルート URL を選択して、TAXII サーバーの特定の API ルートからコレクションをフェッチします。
      認証 認証が必要な場合、ドロップダウンリストから必要なオプションを選択します。使用可能なオプションは、次のとおりです。
      • なし:認証が不要な場合は、このオプションを選択します。
      • 基本:ユーザー名とパスワードを指定するには、このオプションを選択します。
      • API キー:API キーを指定するには、このオプションを選択します。
      • REST メッセージを選択:その他のタイプの認証には、このオプションを選択します。REST メッセージのオプションは次のとおりです。
        • REST メッセージを使用:構築済み REST メッセージを作成する REST メッセージが必要な場合は、このボックスを選択します。選択されていない場合は、エンドポイントフィールドの値が使用されます。ルックアップアイコンをクリックして、リストから REST メッセージを選択します。
        • REST メソッド:REST メソッドが必要な場合は、このボックスを選択します。ルックアップアイコンをクリックして、リストから REST メソッドを選択します。
      注:
      REST メッセージのオプションが選択されていると、[REST メッセージ] および [REST メソッド] フィールドが使用できるようになります。
      URL 選択した構成タイプに応じて、TAXII サーバーのディスカバリーサービス URL または特定の API ルート URL を入力します。
      [詳細設定] セクション
      詳細 別の統合スクリプトやレポートプロセッサを選択するには、このチェックボックスをオンにします。選択したスクリプトが、選択した TAXII バージョンと互換性があることを確認してください。デフォルトでは、TAXII バージョンと認証に応じてこれらのスクリプトが 自動入力されます。
      統合スクリプト 認証タイプ (ユーザー名 / パスワード / API キー) や要求とともに渡されるヘッダーなどの認証パラメーターを使用して REST エンドポイント URL API の呼び出しを起動します。その後、スクリプトが、特定のフィードで利用可能な観測事象やインジケーター STIX データをフェッチします。
      注:
      フェッチされるデータは生データのみとなります (レコードは作成されません)。データは統合プロセスに添付され、[統合実行] セクションで表示できるようになります。
      以下は、ベースシステム内のカスタムスクリプトインクルードです。これらが、統合スクリプト用にアプリケーション内でプロビジョニングされます。
      • TAXIIV2_0QueryParamAPIKeyIntegrationScript
      • TAXIIV2_0BasicAuthIntegrationScript
      • TAXIIV2_1QueryParamAPIKeyIntegrationScript
      • TAXIIV2_1BasicAuthIntegrationScript
      デフォルトの統合スクリプトは、選択したフィードタイプに基づいています。スクリプトインクルードは、簡単な REST コールを実行し、応答を添付ファイルとして保存してから、添付ファイルをプロセッサに返します。
      プロセッサをレポート レポートプロセッサは、REST エンドポイント URL の呼び出しを起動します。

      以下のベースシステム内にはカスタムスクリプトインクルードがあります。これが、統合スクリプト (TAXIIV2CollectionDataProcessor) 用にアプリケーション内でプロビジョニングされます。

      必要に応じて、[スケジュール] セクションのフィールドに入力します。

      表 : 3. スケジューリング
      フィールド 説明
      コレクションの実行頻度 TAXII 収集レコードに適用されるスケジュール間隔。TAXII 収集の実行頻度は、必要に応じて TAXII 収集のフォームビューで変更できます。
      注:
      この設定は、フェッチされるすべての TAXII 収集にデフォルトで適用されます。必要に応じて、TAXII 収集の設定を上書きすることができます (オプション)。
      詳細については、「スケジュール済みジョブ」および「選択したスクリプトを自動的に実行する方法」を参照してください。
      データのフェッチ元 開始日は、データフェッチが必要になる最初の日となります。このフィールドでは時刻を設定する必要があります。この時刻は、該当のソースからデータを取り込む必要がある時刻となります。このフィールドが設定されると、次の取り込み実行では設定された時刻にデータがフェッチされ、取り込み実行が継続的に行われる場合は増分のデータが取得されることになります。

      たとえば、1 時間ごとにデータを取り込むようにソースをスケジュール設定します。ユーザーが 1 月 12 日午前 9 時 30 分に [ データフェッチの開始日時] を 1 月 12 日午前 6 時 00 分に設定し、取り込みのトリガーが 1 月 12 日午前 10 時に行われると、1 月 12 日午前 6 時~ 1 月 12 日午前 10 時までのデータが取得されます。次の取り込みのトリガーは午前 11:00 になり、1 月 12 日午前 10 時~ 1 月 12 日午前 11 時までの増分データのみがフェッチされます。

      注:
      つまり、スケジュールされた実行では、指定された日時以降にデータが追加的にフェッチされることになります。
    6. [接続を検証] をクリックします。
      TAXII フィード接続に成功したことを示す情報メッセージが表示されます。コレクションをフェッチするには、次のステップに進みます。
    7. [TAXII 収集を取得] をクリックします。
      注:
      エラーが発生した場合は、TAXII 収集のフェッチ中にエラーが発生したことを示すエラーメッセージが表示されるので、ログで詳細を確認してください。

      TAXII 収集は [TAXII 収集] セクションの下に表示されます。デフォルトでは無効になっています。

    8. TAXII 収集で使用可能な STIX オブジェクトを取得するには、TAXII 収集を有効化します。