Konfigurieren Sie einen neuen Threat Intelligence-Feed

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 7 Minuten Lesedauer

    • Konfigurieren Sie den neuen Threat Intelligence-Feed.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Um einen neuen Threat Intelligence-Feed zu konfigurieren, gehen Sie wie folgt vor:

    Prozedur

    1. Navigieren zu Alle > Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    2. Klicken Sie auf Integrationen Symbol.
    3. Auswahlvorgang Bedrohungsinformationsfeeds > Alle Feedsan.
    4. Klicken Sie Auf Konfigurieren Sie eine neue Quelle .
      Die verschiedenen Feed-Typen werden angezeigt.

      TISC – alle Feeds: Neue Quelle konfigurieren

    5. Wählen Sie den entsprechenden Feed-Typ aus.
    6. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Neue Quelle konfigurieren
      Feld Beschreibung
      Name Geben Sie einen Namen für den Feed ein.
      Beschreibung Beschreibung des Feeds.
      Feed-Typ Der Feed-Typ. Beispiel: MISP.

      Standardmäßig wird dieser Wert basierend auf dem Feed-Typ angezeigt, den Sie im Katalog ausgewählt haben.
      Logo Hängen Sie das Logo des Quell-Feeds an.
      Hinweis:
      Die Größe muss 72 px/72 px betragen.
      Branche Wählen Sie die Branchenkategorie aus, z. B. Luft- und Raumfahrt, Landwirtschaft usw., für die der Feed gilt.
      Quelltyp Wählen Sie den Typ der Quelle aus der Liste der verfügbaren Quelltypen aus. Liste der verfügbaren Quellen:
      • Regierung
      • ISACs
      • Open Source
      • Premium-Quelle
      • Andere Quelle
    7. Klicken Sie auf Auswählen.
    8. Füllen Sie die Felder im Abschnitt Konfiguration entsprechend aus.
      Tabelle : 2. Konfiguration
      Feld Beschreibung
      Ablaufzeitraum (in Tagen) Geben Sie den Ablaufzeitraum für den Feed in Tagen ein. Beispiel: 180 Tage.
      Hinweis:
      Alle Daten, die aus der Quelle erfasst werden, laufen 180 Tage nach der Erfassung ab.
      REST-Nachricht verwenden Wählen Sie Aus REST-Nachricht verwenden Kontrollkästchen, wenn Sie die Funktionalität „REST-Nachricht/REST-Methode“ verwenden müssen, die von bereitgestellt wird ServiceNow AI Platform.

      Wenn dieses Kontrollkästchen nicht aktiviert ist, verwendet die Anwendung den in angegebenen Endpunkt REST-Endpunkt-URL Zum Abrufen der Daten aus dem Feed. Weitere Informationen finden Sie unter Ausgehender REST-Webservice Ein ServiceNow AI Platform Dokumentation.

      Hinweis:
      Die Felder „REST-Nachricht“ und „REST-Methode“ sind obligatorisch, wenn Sie die REST-Nachricht auswählen.
      REST-Nachricht Wählen Sie den REST-Nachrichtendatensatz aus der Liste der REST-Nachrichtendatensätze aus, die bereits in der Instanz konfiguriert sind. Weitere Informationen finden Sie unter Ausgehender REST-Webservice Auf der ServiceNow AI Platform Dokumentation.
      Hinweis:
      Wählen Sie diesen Wert aus, wenn Sie bestimmte Header anzeigen und die REST-bezogenen Datensätze mit der REST-Nachrichtenoption definieren müssen.
      REST-Methode Wählen Sie REST-Methode aus der Liste der verfügbaren REST-Methoden aus, die für die ausgewählte REST-Nachricht konfiguriert sind. Weitere Informationen finden Sie unter Ausgehender REST-Webservice Auf der ServiceNow AI Platform Dokumentation.
      Vertrauen Legen Sie die Konfidenz für alle zutreffenden Datensätze fest, die über diesen spezifischen Feed erfasst werden.
      Hinweis:
      Legen Sie die Konfidenz für diese Quelle zwischen 0-100 fest.
      Datenanalysemechanismus Wählen Sie die entsprechende Option für den Datenanalysemechanismus aus. Verfügbare Optionen:
      • Automatisierte IOC-Extraktion : Diese Option ist standardmäßig ausgewählt, wenn Text-, CSV- oder JSON-Feeds konfiguriert werden.
      • Anwenderdefinierte Feldzuordnung : Wählen Sie diese Option aus, wenn Sie definieren möchten, wie die spezifischen Felder in Ihren Feed-Daten den Attributen des erkennbaren Elements zugeordnet werden sollen.

        Nach der Auswahl können Sie die Zuordnungen in konfigurieren Feldzuordnung Abschnitt. Weitere Informationen zur anwenderdefinierten Feldzuordnung finden Sie unter Konfigurieren Sie Die Anwenderdefinierte Feldzuordnung.

      Hinweis:
      Die Option „Datenanalysemechanismus“ ist nur für Text-, CSV- und JSON-Feeds verfügbar, in denen Feeds verwendet werden Berichtsprozessor Ist auf festgelegt SimpleFeedDatasourceResponseProcessor .
      REST-Endpunkt-URL Geben Sie die REST-Endpunkt-URL ein, unter der die Daten vom Threat Intelligence-Feed gehostet werden.
      Hinweis:
      Für MISP-Feed-Typen die REST-Endpunkt-URLs, die mit enden /Manifest.JSON Werden unterstützt.
      Authentifizierung erforderlich Aktivieren Sie dieses Kontrollkästchen, wenn für Ihren neuen Threat Intelligence-Feed eine Authentifizierung erforderlich ist.
      Hinweis:
      Dies gilt nur, wenn die REST-Endpunkt-URL zum Abrufen der Daten verwendet wird.
      Authentifizierungstyp Der Authentifizierungstyp für den Quell-Feed. Im Folgenden sind die Authentifizierungstypen aufgeführt, die im Basissystem für die Anwender konfiguriert und bereitgestellt werden:
      • API-ID/API-SCHLÜSSEL
      • API-ID/API-GEHEIMNIS
      • API-Schlüssel
      • API-Schlüssel/API-Geheimnis
      • API-Anwendername/API-Passwort/API-Schlüssel
      • Standardauthentifizierung
      Header, die mit der Anforderung übergeben werden sollen Alle Header, die mit den Anforderungen übergeben werden sollen, können in der Anforderungs-Header-Zuordnung angegeben werden.
      • Header muss als Schlüssel-Wert-Paar angegeben werden, das durch einen Doppelpunkt („:“) getrennt ist.
      • Jedes Header-Schlüssel-Wert-Paar muss in einer neuen Zeile angegeben werden.
      • Um Authentifizierungsparameter als Header-Werte anzugeben, schließen Sie die erforderliche Authentifizierungsbezeichnung mit „${“ und „}$“ ein. Beispiel: X-api-key:${API Key}$.
      Erweitert Aktivieren Sie dieses Kontrollkästchen, um ein anwenderdefiniertes Integrationsskript und ein Berichtsprozessorskript zu definieren.
      Hinweis:
      Wenn Sie dieses Kontrollkästchen aktivieren, wird die Integrationsskript Und Berichtsprozessor Felder werden angezeigt, damit Sie die anwenderdefinierten Skripts auswählen können.
      Integrationsskript Das Integrationsskript ruft einen Aufruf der REST-Endpunkt-URL mithilfe der Authentifizierungsparameter und der im Feed konfigurierten Header auf, und das Skript ruft dann die Daten ab, die aus dem spezifischen Feed verfügbar sind.
      Im Basissystem sind die folgenden anwenderdefinierten Skripteinbindungen verfügbar, die innerhalb der Anwendung für die Integrationsskripts bereitgestellt werden:
      • MITRESourceIntegration: Wird zum Abrufen der Daten aus MITRE-Feeds verwendet.
      • RSSFeedDatasourceIntegration: Wird zum Abrufen der Daten aus RSS-Feeds verwendet.
      • SimpleFeedDatasourceIntegration: Wird zum Abrufen der Daten aus einfachen Feeds ohne Authentifizierung oder Standardauthentifizierung verwendet.
      • SimpleMISPFeedDatasourceIntegration: Wird zum Abrufen der Daten aus gehosteten MISP-Feeds verwendet.

      Das Standardintegrationsskript basiert auf dem von Ihnen ausgewählten Feed-Typ. Wenn Sie beispielsweise den MISP-Feed-Typ auswählen, bei dem es sich um ein Standardformat zum Verarbeiten und Abrufen der Daten handelt, lautet das Integrationsskript SimpleMISPFeedDatasourceIntegration .

      Hinweis:

      Für die anwenderdefinierten Integrationsskripts können Sie eine Skripteinbindung erstellen, indem Sie erweitern FeedDatasourceIntegrationBase Und überschreiben die erforderlichen Methoden.
      Berichtsprozessor-Skript

      Das Berichtsprozessorskript verarbeitet Daten, die aus dem Feed mithilfe des Integrationsskripts abgerufen wurden.

      Das Basissystem enthält die folgenden anwenderdefinierten Skripts, die innerhalb der Anwendung zur Unterstützung des Berichtsprozessorskripts bereitgestellt werden:
      • AtomFeedDatasourceResponseProcessor: Wird für die Verarbeitung von RSS-Feeds im Atom-Format verwendet.
      • MITRECollectionDataProcessor: Wird für die Verarbeitung von MITRE-Feeds verwendet.
      • RSSFeedDatasourceResponseProcessor: Wird für die Verarbeitung von RSS-Feeds verwendet.
      • SimpleDataplaneFeedResponseProcessor: Wird für die Verarbeitung von Dataplane-Feeds verwendet.
      • SimpleFeedDatasourceResponseProcessor: Wird für die Verarbeitung einfacher Feeds mithilfe der Extraktion von erkennbaren Elementen mit regulären Ausdrücken verwendet.
      • SimpleFeodotrackerFeedResponseProcessor: Wird zur Verarbeitung von Feodotracker-Feeds verwendet.
      • SimpleMISPFeedDatasourceResponseProcessor: Wird für die Verarbeitung gehosteter MISP-Feeds verwendet.
      • TAXIIV2CollectionDataProcessor: Wird für die Verarbeitung von TAXII-Sammlungsdaten verwendet.

      Der standardmäßige Berichtsprozessor für MISP-Feeds ist SimpleMISPFeedDatasourceResponseProcessor . Dieser Prozessor ist von der Anwendung vorkonfiguriert und kann nicht geändert oder ersetzt werden.
    9. Füllen Sie die Felder im Abschnitt „Zeitplanung“ entsprechend aus.
      Tabelle : 3. Zeitplanung
      Feld Beschreibung
      Ausführen Legen Sie die Häufigkeit fest, mit der Sie die Datensätze erfassen möchten. Der Feed wird basierend auf dem Zeitplanungsauftragsintervall ausgeführt und ausgeführt. Die verfügbaren Auftragsintervalle sind:
      • Täglich
      • Wöchentlich
      • Monatlich
      • In regelmäßigen Abständen
      • Einmal
      • Bei Bedarf
      • Geschäftskalender: Eintragsbeginn
      • Geschäftskalender: Eintragsende
      Hinweis:
      Standardmäßig ist die Häufigkeit auf „bei Bedarf“ festgelegt.
      Weitere Informationen finden Sie unter Geplante Aufgaben und wie ein Skript Ihrer Wahl automatisch ausgeführt wird .
      Daten abrufen von Das Startdatum, ab dem die Daten abgerufen werden mussten. Dieses Feld sollte mit der Zeit festgelegt werden, ab der die Daten aus der entsprechenden Quelle erfasst werden müssen. Sobald dieses Feld festgelegt ist, ruft die nächste Erfassungsausführung die Daten aus der konfigurierten Zeit ab, und aufeinanderfolgende Erfassungsausführungen rufen inkrementelle Daten ab.

      Beispielsweise ist „Quelle“ so geplant, dass die Daten stündlich erfasst werden. Der Anwender legt fest Daten Von Abrufen Bis zum 12. Januar 6:00 Uhr am 12. Januar 9:00 Uhr ruft die am 12. Januar 30 ausgelöste Erfassung die Daten vom 12. Januar 6:00 UHR bis 12. Januar 10:00 Uhr ab. Die nächste Erfassung, die um 11:00 Uhr ausgelöst wird, ruft nur die inkrementellen Daten vom 12. Januar 10:00 UHR bis 12. Januar 11:00 Uhr ab.

      Hinweis:
      Dies bedeutet, dass die geplanten Ausführungen ab dem angegebenen Datum inkrementell Daten abrufen.
      Wichtig:
      Dies gilt auch nicht für Text-, CSV- und JSON-Feeds.
      Tabelle : 4. Tags
      Feld Beschreibung
      Tags auswählen Verwenden Sie die Tags, um Anmerkungen oder Ohrmarkendatensätze zu versehen, die aus dieser Quelle in das System aufgenommen werden. Beginnen Sie mit der Eingabe des Tag-Namens in Suchen Leiste, um die verfügbaren Tags in der Anwendung auszuwählen, oder geben Sie einen neuen Tag-Namen ein, und klicken Sie auf Hinzufügen Um es der Quelle zuzuweisen.
    10. Klicken Sie auf Speichern Aktion zum Speichern und Erstellen des Feeds.
      Die angegebenen Details werden validiert, und standardmäßig ist der Feeds-Status deaktiviert.
    11. Wahlweise: Klicken Sie auf Als Entwurf speichern Aktion, um die Feed-Konfigurationen nur als Entwurf zu speichern.
      Anwender können einen Feed nicht aktivieren, wenn er im Entwurf gespeichert wird. Wenn Sie sich bei den Konfigurationsdetails nicht sicher sind, können Sie verwenden Als Entwurf speichern Option. Nachdem Sie die Konfigurationsdetails erhalten haben, können Sie die verbleibenden Informationen in die Entwurfsversion eingeben und erstellen.
    12. Klicken Sie Auf Aktivieren Zum Aktivieren des Datensatzes.
      Sobald der Threat Intelligence-Feed-Datensatz aktiviert ist, können Sie den Datensatz ausführen, um die Integration auszuführen.
      Hinweis:
      • Der Threat Intelligence-Feed-Datensatz ist gekennzeichnet und als angegeben Aktiviert . Ebenso können Sie den Threat Intelligence-Feed deaktivieren, indem Sie auf klicken Deaktivieren Schaltfläche.
      • Sie können einen bestimmten Feed auch aktivieren, deaktivieren oder löschen, indem Sie verwenden Aktionen Menü der erforderlichen Feed-Kachel auf der Katalog Oder Bedrohungsinformationen-Feeds Seite.
    13. Klicken Sie Auf Löschen Um den Threat Intelligence-Feed-Datensatz zu löschen.
    14. Wählen Sie Aus Integrationen Werden Ausgeführt Abschnitt zum Überprüfen der Ausführungsdetails.
      Hinweis:
      Das oben genannte Konfigurationsverfahren für Threat Intelligence-Feed ist für alle anderen Threat Intelligence-Feed-Typen identisch, mit Ausnahme von STIX TAXII. Weitere Informationen zur Konfiguration VON STIX TAXII finden Sie unter Konfigurieren Sie einen neuen TAXII-Feed.