Configure um novo Feed TAXII

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • Você pode manter feeds TAXII para compartilhar informações no formato STIX. Cada feed do TAXII contém uma ou mais coleções do TAXII.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças.
    2. Clique em Integrações ícone.
    3. Selecionar Feeds de inteligência contra ameaça > STIX TAXII > Feeds TAXII.
      Nota:
      Configure o feed do TAXII para servir como um perfil para todas as coleções do TAXII no .
    4. Clique em Configurar nova origem .
      A página Configurar novo Feed do TAXII é exibida.
    5. No formulário, preencha os campos.
      Tabela 1. Criar nova fonte de dados
      Campo Descrição
      Nome Insira um nome para o feed.
      Descrição Descrição do feed.
      Tipo de Origem O tipo de origem, como Código Aberto, Origem Premium e assim por diante, fornecido para o feed. Os tipos de origem disponíveis são:
      • Governo
      • ISACs
      • Código aberto
      • Origem Premium
      • Outra origem
      Logotipo Anexe o logotipo do feed de origem.
      Setor Selecione a categoria do setor, como Aeroespacial, Agricultura e assim por diante, para a qual a fonte de dados do feed é aplicável.

      Preencha os campos na seção Configuração, conforme apropriado.

      Tabela 2. Configuração
      Campo Descrição
      Versão de TAXII Selecione a versão do TAXII do servidor TAXII que precisa ser configurada. As versões compatíveis são 2,0 e 2,1.
      Tipo de Configuração Forneça um tipo de configuração para buscar coleções TAXII. Os valores disponíveis são:
      • URL do serviço da Descoberta : Escolha a URL do serviço de descoberta para buscar coleções de todas as raízes de API disponíveis no serviço de descoberta do servidor TAXII.
      • URL raiz da API : Escolha o URL raiz da API para buscar coleções da raiz da API específica do servidor TAXII.
      Autenticação Se a autenticação for necessária, selecione a opção necessária na lista suspensa. As opções disponíveis são:
      • Nenhum : Selecione esta opção se não houver autenticação necessária.
      • Básico : Selecione esta opção para fornecer nome de usuário e senha.
      • Chave de API : Selecione esta opção para fornecer uma chave de API.
      • Escolha uma mensagem REST : Selecione esta opção para qualquer outro tipo de autenticação. As opções de mensagem REST são:
        • Usar mensagem REST : Selecione esta caixa se você precisar de uma mensagem REST para criar uma mensagem REST de pré-compilação. Se você não selecionar, o valor no campo de endpoint será usado. Clique no ícone de pesquisa e selecione a mensagem REST na lista.
        • Método REST : Selecione esta caixa se precisar de um método REST. Clique no ícone de pesquisa e selecione o método REST na lista.
      Nota:
      Os campos Mensagem REST e Método REST se tornam disponíveis quando a opção Mensagem REST é selecionada.
      URL Insira a URL do serviço de descoberta do servidor do TAXII ou a URL raiz da API específica com base no tipo de configuração selecionado.
      Seção avançada
      Avançado Marque a caixa de seleção para escolher um script de integração e um Processador de relatório diferentes. Certifique-se de que os scripts escolhidos sejam compatíveis com a versão do TAXII selecionada. Com base na versão e na autenticação do TAXII, esses scripts são preenchidos automaticamente por padrão.
      Script de integração Invoca uma chamada para a API URL do endpoint REST usando os parâmetros de autenticação, como tipo de autenticação: Nome de usuário/senha/chave de API e os cabeçalhos a serem passados com a solicitação e, em seguida, o script busca os dados do STIX observáveis ou indicadores que estão disponíveis para o feed específico.
      Nota:
      Os dados obtidos são somente os dados brutos (nenhum registro é criado) que serão anexados ao processo de integração e poderão ser exibidos em Execução de integração seção.
      A seguir estão as inclusões de scripts personalizados, que são provisionadas na aplicação para os scripts de integrações:
      • TAXIIV2_0QueryParamAPIKeyIntegrationScript
      • TAXIIV2_0BasicAuthIntegrationScript
      • TAXIIV2_1QueryParamAPIKeyIntegrationScript
      • TAXIIV2_1BasicAuthIntegrationScript
      O script de integração padrão é baseado no tipo de feed selecionado. As inclusões de script executam uma chamada REST simples, salva a resposta como um anexo e retorna o anexo para o processador.
      Processador de relatórios O processador de relatório invoca uma chamada para o URL do endpoint REST.

      No sistema de base abaixo estão as inclusões de scripts personalizados, que são provisionadas na aplicação para os scripts de integrações, TAXIIV2CollectionDataProcessor .

      Preencha os campos na seção Programação, conforme apropriado.

      Tabela 3. Programando
      Campo Descrição
      Frequência de execução de coletas O intervalo de programação que será aplicado aos registros de coleta do TAXII. A frequência de execução de uma coleção de TAXII pode ser modificada na exibição do formulário de coleta de TAXII, se necessário.
      Nota:
      Esta configuração será aplicada como padrão a todas as coleções TAXII obtidas. Há uma opção para substituir a configuração nas coleções TAXII, se necessário.
      Para obter mais informações, consulte Trabalhos agendados e como executar automaticamente um script de sua escolha .
      Buscar dados de A data de início a partir da qual os dados precisavam ser obtidos. Este campo deve ser definido com a hora a partir da qual os dados precisam ser ingeridos da origem correspondente. Depois que este campo for definido, a próxima execução de ingestão buscará os dados do tempo configurado e as execuções de ingestão consecutivas buscarão dados incrementais.

      Por exemplo, a Origem está programada para ingerir os dados a cada hora. Os conjuntos do usuário Buscar dados de Em 12 6:00AM de janeiro, em 12 9 de janeiro, a ingestão acionada em 12 10:00AM de janeiro buscaria os dados de 12 6:00AM de janeiro a 12 10 de janeiro. A próxima ingestão que é acionada às 11:00AM buscará somente os dados incrementais de 12 10:00AM de janeiro a 12 11 de janeiro.

      Nota:
      Isso significa que as execuções programadas buscarão dados incrementalmente a partir da data especificada em diante.
    6. Clique em Validar conexão
      Uma mensagem informativa é exibida informando que a conexão do Feed TAXII foi bem-sucedida. Para obter as coleções, prossiga para a próxima etapa.
    7. Clique em Obter coleções TAXII .
      Nota:
      Se houver erros, uma mensagem de erro será exibida informando que ocorreu um erro ao buscar coleções TAXII e verificar logs para obter mais detalhes.

      As coleções TAXII são exibidas na seção Coleções TAXII e estão desabilitadas por padrão.

    8. Habilite as coleções TAXII para recuperar os objetos STIX disponíveis nessas coleções TAXII.