새 TAXII 피드 구성

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 26일
  • 읽기5분

    • STIX 형식의 정보를 공유하기 위해 TAXII 피드를 유지 관리할 수 있습니다. 각 TAXII 피드에는 하나 이상의 TAXII 컬렉션이 포함되어 있습니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.admin

    프로시저

    1. 다음으로 이동 작업 공간 > Threat Intelligence Security Center.
    2. 통합 아이콘을 클릭합니다.
    3. 선택 위협 인텔 피드 > STIX TAXII > TAXII 피드.
      주:
      내부의 모든 TAXII 컬렉션에 대한 프로필 역할을 하도록 TAXII 피드를 구성합니다.
    4. Configure new source(새 소스 구성)를 클릭합니다.
      새 TAXII 피드 구성 페이지가 표시됩니다.
    5. 양식의 필드에 내용을 입력합니다.
      표 1. 새 데이터 소스 작성
      필드 설명
      이름 피드의 이름을 입력합니다.
      설명 피드에 대한 설명입니다.
      소스 유형 피드에 제공되는 오픈 소스, 프리미엄 소스 등과 같은 소스의 유형입니다. 사용 가능한 소스 유형은 다음과 같습니다.
      • 정부
      • ISAC
      • 오픈 소스
      • 프리미엄 소스
      • 기타 소스
      로고 소스 피드의 로고를 첨부합니다.
      산업 피드 데이터 원본을 적용할 수 있는 항공 우주, 농업 등의 산업 범주를 선택합니다.

      구성 섹션의 필드에 적절히 입력합니다.

      표 2. 구성
      필드 설명
      TAXII 버전 구성해야 하는 TAXII 서버의 TAXII 버전을 선택합니다. 지원되는 버전은 2.0 및 2.1입니다.
      구성 유형 TAXII 컬렉션을 가져올 구성 유형을 제공합니다. 사용할 수 있는 값은 다음과 같습니다.
      • 검색 서비스 URL: 검색 서비스 URL을 선택하여 TAXII 서버의 검색 서비스 내에서 사용 가능한 모든 API 루트에서 컬렉션을 가져옵니다.
      • API 루트 URL: TAXII 서버의 특정 API 루트에서 컬렉션을 가져오려면 API 루트 URL을 선택합니다.
      인증 인증이 필요한 경우 드롭다운 목록에서 필요한 옵션을 선택합니다. 사용 가능한 옵션은 다음과 같습니다.
      • 없음: 인증이 필요하지 않은 경우 이 옵션을 선택합니다.
      • 기본: 사용자 이름과 암호를 제공하려면 이 옵션을 선택합니다.
      • API 키: API 키를 제공하려면 이 옵션을 선택합니다.
      • REST 메시지 선택: 다른 유형의 인증에 대해 이 옵션을 선택합니다. REST 메시지 옵션은 다음과 같습니다.
        • REST 메시지 사용: 빌드 전 REST 메시지를 작성하기 위해 REST 메시지가 필요한 경우 이 상자를 선택합니다. 선택하지 않으면 엔드포인트 필드의 값이 사용됩니다. 조회 아이콘을 클릭하고 목록에서 REST 메시지를 선택합니다.
        • REST 메서드: REST 메서드가 필요한 경우 이 상자를 선택합니다. 조회 아이콘을 클릭하고 목록에서 REST 메서드를 선택합니다.
      주:
      REST 메시지 및 REST 메서드 필드는 REST 메시지 옵션을 선택할 때 사용할 수 있게 됩니다.
      URL 선택한 구성 유형에 따라 TAXII 서버 검색 서비스 URL 또는 특정 API 루트 URL을 입력합니다.
      고급 선택 항목
      고급 다른 통합 스크립트와 보고서 프로세서를 선택하려면 확인란을 선택합니다. 선택한 스크립트가 선택한 TAXII 버전과 호환되는지 확인합니다. TAXII 버전 및 인증에 따라 이러한 스크립트는 기본적으로 자동으로 채워집니다.
      통합 스크립트 인증 유형: 사용자 이름/암호/API 키 및 요청과 함께 전달할 헤더와 같은 인증 매개변수를 사용하여 REST 엔드포인트 URL API에 대한 호출을 호출한 다음 스크립트는 특정 피드에 사용할 수 있는 옵저버블 또는 표시기 STIX 데이터를 가져옵니다.
      주:
      가져오는 데이터는 원시 데이터 전용(기록이 생성되지 않음)이며 통합 프로세스에 첨부된 다음 통합 실행 섹션에서 볼 수 있습니다.
      기본 시스템에는 통합 스크립트를 위해 애플리케이션 내에서 프로비저닝되는 사용자 지정 스크립트 포함이 있습니다.
      • TAXIIV2_0QueryParamAPIKeyIntegrationScript
      • TAXIIV2_0BasicAuthIntegrationScript
      • TAXIIV2_1QueryParamAPIKeyIntegrationScript
      • TAXIIV2_1BasicAuthIntegrationScript
      기본 통합 스크립트는 선택한 피드 유형을 기반으로 합니다. 스크립트 포함은 단순 REST 호출을 실행하고 응답을 첨부 파일로 저장한 다음 첨부 파일을 프로세서에 반환합니다.
      보고서 프로세서 보고서 프로세서는 REST 끝점 URL에 대한 호출을 호출합니다.

      아래의 기본 시스템에는 통합 스크립트인 TAXIIV2CollectionDataProcessor에 대한 애플리케이션 내에서 프로비저닝되는 사용자 지정 스크립트 포함이 있습니다.

      스케줄링 섹션의 필드에 적절히 입력합니다.

      표 3. 예약
      필드 설명
      컬렉션 실행 빈도 TAXII 수집 기록에 적용되는 예약 간격입니다. 필요한 경우 TAXII 수집 양식 뷰에서 TAXII 수집에 대한 실행 빈도를 수정할 수 있습니다.
      주:
      이 설정은 가져오는 모든 TAXII 컬렉션에 기본값으로 적용됩니다. 필요한 경우 TAXII 컬렉션의 설정을 재정의하는 옵션이 있습니다.
      자세한 내용은 예약된 작업 및 선택한 스크립트를 자동으로 실행하는 방법을 참조하십시오.
      데이터를 가져오는 위치 데이터를 가져와야 하는 시작 날짜입니다. 이 필드는 해당 소스에서 데이터를 수집해야 하는 시점으로 설정해야 합니다. 이 필드가 설정되면 다음 수집 실행은 구성된 시간에서 데이터를 가져오고 연속 수집 실행은 증분 데이터를 가져옵니다.

      예를 들어 소스는 매시간 데이터를 수집하도록 예약되어 있습니다. 사용자가 1월 12일 오전 9:30에 데이터 가져오기 를 1월 12일 오전 6:00로 설정하면 1월 12일 오전 10:00에 트리거되는 수집은 1월 12일 오전 6:00부터 1월 12일 오전 10:00까지 데이터를 가져옵니다. 오전 11:00에 트리거되는 다음 수집은 1월 12일 오전 10:00부터 1월 12일 오전 11:00까지의 증분 데이터만 가져옵니다.

      주:
      즉, 예약된 실행은 지정된 날짜부터 시작하여 증분 방식으로 데이터를 가져옵니다.
    6. 연결 확인을 클릭합니다.
      TAXII 피드 연결에 성공했다는 정보 메시지가 표시됩니다. 컬렉션을 가져오려면 다음 단계로 진행합니다.
    7. Get TAXII Collections(TAXII 수집 가져오기)를 클릭합니다.
      주:
      오류가 있는 경우 TAXII 컬렉션을 가져오는 동안 오류가 발생했다는 오류 메시지가 표시되고 자세한 내용은 로그를 확인합니다.

      TAXII 컬렉션은 TAXII 컬렉션 섹션 아래에 표시되며 기본적으로 비활성화되어 있습니다.

    8. TAXII 수집을 활성화하여 이러한 TAXII 수집에서 사용할 수 있는 STIX 객체를 검색합니다.