Configurar um novo feed TAXII

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • Você pode manter feeds TAXII para compartilhar informações no formato STIX. Cada feed TAXII contém uma ou mais coleções TAXII.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças.
    2. Clique no ícone Integrações.
    3. Selecionar Feeds de inteligência contra ameaça > STIX TAXII > Feeds TAXII.
      Nota:
      Configure o feed TAXII para servir como um perfil para todas as Coleções TAXII em.
    4. Clique em Configurar nova origem.
      A página Configurar novo feed TAXII é exibida.
    5. No formulário, preencha os campos.
      Tabela 1. Criar nova fonte de dados
      Campo Descrição
      Nome Insira um nome para o feed.
      Descrição Descrição do feed.
      Tipo de Origem O tipo de origem, como código aberto, origem premium e assim por diante, fornecido para o feed. Os tipos de origem disponíveis são:
      • Governo
      • ISACs
      • Código aberto
      • Origem Premium
      • Outra origem
      Logotipo Anexe o logotipo do feed de origem.
      Setor Selecione a categoria do setor, como Aeroespacial, Agrícola e assim por diante, para a qual a fonte de dados do feed se aplica.

      Preencha os campos na seção Configuração, conforme apropriado.

      Tabela 2. Configuração
      Campo Descrição
      Versão de TAXII Selecione a Versão TAXII do servidor TAXII que precisa ser configurada. As versões compatíveis são 2.0 e 2.1.
      Tipo de Configuração Forneça um tipo de configuração para buscar coleções TAXII. Os valores disponíveis são:
      • URL do serviço de descoberta: escolha a URL do serviço de descoberta para buscar coleções de todas as raízes de API disponíveis no serviço de descoberta do servidor TAXII.
      • URL raiz da API: escolha a URL raiz da API para buscar coleções da raiz da API específica do servidor TAXII.
      Autenticação Selecione a opção necessária na lista suspensa se a autenticação for necessária. As opções disponíveis são:
      • Nenhum: selecione esta opção se não houver autenticação necessária.
      • Básico: selecione esta opção para fornecer o nome de usuário e a senha.
      • Chave de API: selecione esta opção para fornecer uma chave de API.
      • Escolha uma mensagem REST: selecione esta opção para qualquer outro tipo de autenticação. As opções de mensagem REST são:
        • Usar mensagem REST: marque esta caixa se precisar de uma mensagem REST para criar uma mensagem REST de pré-compilação. Se você não selecionar, será usado o valor no campo de endpoint. Clique no ícone de pesquisa e selecione a mensagem REST na lista.
        • Método REST: marque esta caixa se precisar de um método REST. Clique no ícone de pesquisa e selecione o método REST na lista.
      Nota:
      Os campos Mensagem REST e Método REST se tornam disponíveis quando a opção Mensagem REST é selecionada.
      URL Insira a URL do serviço de descoberta do servidor TAXII ou a URL raiz da API específica com base no tipo de configuração selecionado.
      Seção avançada
      Avançado Marque a caixa de seleção para escolher um script de integração e um processador de relatório diferentes. Verifique se os scripts escolhidos são compatíveis com a versão TAXII selecionada. Com base na versão e na autenticação TAXII, esses scripts são preenchidos automaticamente por padrão.
      Script de integração Invoca uma chamada para a REST Endpoint URL API usando os parâmetros de autenticação, como tipo de autenticação: nome de usuário/senha/chave de API e os cabeçalhos a serem passados com a solicitação e, em seguida, o script busca os observáveis ou indicadores de dados STIX que estão disponíveis para o feed específico.
      Nota:
      Os dados obtidos são somente os dados brutos (nenhum registro é criado) que serão anexados ao processo de integração e podem ser exibidos na seção Execução de integração.
      No sistema de base, a seguir estão as inclusões de scripts personalizados, que são provisionadas na aplicação para os scripts de integrações:
      • TAXIIV2_0QueryParamAPIKeyIntegrationScript
      • TAXIIV2_0BasicAuthIntegrationScript
      • TAXIIV2_1QueryParamAPIKeyIntegrationScript
      • TAXIIV2_1BasicAuthIntegrationScript
      O script de integração padrão é baseado no tipo de feed selecionado. As inclusões de script executam uma chamada REST simples, salvam a resposta como um anexo e retornam o anexo para o processador.
      Processador de relatórios O processador de relatório invoca uma chamada para a URL do endpoint REST.

      No sistema de base abaixo estão as inclusões de scripts personalizadas, que são provisionadas na aplicação para os scripts de integrações, TAXIIV2CollectionDataProcessor.

      Preencha os campos na seção Programação, conforme apropriado.

      Tabela 3. Programando
      Campo Descrição
      Frequência de execução de coletas O intervalo de programação que será aplicado aos registros de coleta TAXII. A frequência de execução de uma coleta TAXII pode ser modificada na exibição do formulário de coleta TAXII, se necessário.
      Nota:
      Esta configuração será aplicada como padrão a todas as coleções TAXII obtidas. Há uma opção para substituir a configuração em Coleções TAXII, se necessário.
      Para obter mais informações, consulte Trabalhos agendados e como Executar automaticamente um script de sua escolha.
      Buscar dados de A data de início a partir da qual os dados precisaram ser obtidos. Este campo deve ser definido com a hora a partir da qual os dados precisam ser ingeridos da origem correspondente. Depois que este campo for definido, a próxima execução de ingestão buscará os dados do tempo configurado e as execuções de ingestão consecutivas buscarão dados incrementais.

      Por exemplo, a Origem está programada para ingerir os dados a cada hora. Se o usuário definir Buscar dados de como 12 de janeiro às 6h em 12 de janeiro às 9h30, o acionamento da ingestão em 12 de janeiro às 10h buscará os dados de 12 de janeiro às 6h a 12 de janeiro às 10h. A próxima ingestão que é acionada às 11h buscará somente os dados incrementais de 12 de janeiro às 10h a 12 de janeiro às 11h.

      Nota:
      Isso significa que as execuções programadas buscarão dados de forma incremental a partir da data especificada.
    6. Clique em Validar conexão
      Uma mensagem informativa é exibida informando que a conexão do feed TAXII foi bem-sucedida. Para buscar as coleções, prossiga para a próxima etapa.
    7. Clique em Obter cobranças TAXII.
      Nota:
      Se houver erros, será exibida uma mensagem de erro informando que ocorreu um erro ao buscar coleções TAXII e verificar os logs para obter mais detalhes.

      As Coleções TAXII são exibidas na seção Coleções TAXII e estão desabilitadas por padrão.

    8. Habilite as coleções TAXII para recuperar os objetos STIX disponíveis nessas coleções TAXII.