Configurer un nouveau flux TAXII

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 5 minutes de lecture

    • Vous pouvez gérer des flux TAXII pour partager des informations au format STIX. Chaque flux TAXII contient une ou plusieurs collections TAXII.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    2. Cliquez sur l’icône Intégrations .
    3. Sélectionner Flux de Threat Intelligence > STIX TAXII > Flux TAXII.
      Remarque :
      Configurez le flux TAXII pour qu’il serve de profil pour toutes les collectes TAXII à l’intérieur.
    4. Cliquez sur Configurer une nouvelle source.
      La page Configurer un nouveau flux TAXII s’affiche.
    5. Remplissez les champs du formulaire.
      Tableau 1. Créer une source de données
      Champ Description
      Nom Saisissez un nom pour le flux.
      Description Description du flux.
      Type de source Le type de source (source ouverte, source premium...) fourni pour le flux. Les types de sources disponibles sont les suivants :
      • Gouvernement
      • ISACs
      • Open source
      • Source premium
      • Autre source
      Logo Joindre le logo du flux source.
      Secteur Sélectionnez la catégorie d’industrie (aérospatiale, agriculture, etc.) à laquelle la source de données de flux s’applique.

      Renseignez les champs de la section Configuration comme il convient.

      Tableau 2. Configuration
      Champ Description
      Version TAXII Sélectionnez la version TAXII du serveur TAXII à configurer. Les versions prises en charge sont 2.0 et 2.1.
      Type de configuration Fournissez un type de configuration pour extraire les collections TAXII. Les valeurs disponibles sont les suivantes :
      • URL du service Découverte : choisissez l’URL du service Découverte pour extraire les collections de toutes les racines d’API disponibles dans le service Découverte du serveur TAXII.
      • URL racine de l’API : choisissez l’URL racine de l’API pour extraire les collections à partir de la racine API spécifique du serveur TAXII.
      Authentification Sélectionnez l’option requise dans la liste déroulante si l’authentification est requise. Les options disponibles sont les suivantes :
      • Aucun : sélectionnez cette option si aucune authentification n’est requise.
      • De base : sélectionnez cette option pour fournir un nom d’utilisateur et un mot de passe.
      • Clé API : sélectionnez cette option pour fournir une clé API.
      • Choisir un message REST : sélectionnez cette option pour tout autre type d’authentification. Les options du message REST sont les suivantes :
        • Utiliser le message REST : cochez cette case si vous avez besoin d’un message REST pour créer un message REST prédéfini. Si vous ne sélectionnez pas, la valeur du champ de point de terminaison sera utilisée. Cliquez sur l’icône de recherche, puis sélectionnez le message REST dans la liste.
        • Méthode REST : cochez cette case si vous avez besoin d’une méthode REST. Cliquez sur l’icône de recherche, puis sélectionnez la méthode REST dans la liste.
      Remarque :
      Les champs de message REST et de méthode REST deviennent disponibles lorsque l’option de message REST est sélectionnée.
      URL Entrez l’URL du service de découverte du serveur TAXII ou l’URL racine de l’API spécifique en fonction du type de configuration sélectionné.
      Section avancée
      Avancés Cochez la case pour choisir un script d’intégration et un processeur de rapport différents. Assurez-vous que les scripts choisis sont compatibles avec la version TAXII sélectionnée. En fonction de la version et de l’authentification TAXII, ces scripts sont renseignés automatiquement par défaut.
      Script d'intégration Appelle un appel à l’API de l’URL du point de terminaison REST à l’aide des paramètres d’authentification tels que le type d’authentification : nom d’utilisateur/mot de passe/clé API et les en-têtes à transmettre avec la demande, puis le script récupère les observables ou les indicateurs Données STIX disponibles pour le flux spécifique.
      Remarque :
      Les données récupérées sont uniquement des données brutes (aucun enregistrement n’est créé) qui seront jointes au processus d’intégration et pourront ensuite être affichées dans la section Exécution de l’intégration .
      Dans le système de base, les includes de scripts personnalisés sont fournis dans l’application pour les scripts d’intégration :
      • TAXIIV2_0QueryParamAPIKeyIntegrationScript
      • TAXIIV2_0BasicAuthIntegrationScript
      • TAXIIV2_1QueryParamAPIKeyIntegrationScript
      • TAXIIV2_1BasicAuthIntegrationScript
      Le script d’intégration par défaut est basé sur le type de flux que vous sélectionnez. Le script includes exécute un appel REST simple, enregistre la réponse sous forme de pièce jointe, puis renvoie la pièce jointe au processeur.
      Script de processeur de rapport Le processeur de rapports appelle l’URL du point de terminaison REST.

      Dans le système de base ci-dessous se trouve le Includes de scripts personnalisés, qui est mis en service dans l’application pour les scripts d’intégration, TAXIIV2CollectionDataProcessor.

      Renseignez les champs de la section Planification, comme il convient.

      Tableau 3. Ordonnancement
      Champ Description
      Fréquence d'exécution des collectes Intervalle de planification qui sera appliqué aux enregistrements de collecte TAXII. La fréquence d’exécution d’une collecte TAXII peut être modifiée dans la vue du formulaire de collecte TAXII, si nécessaire.
      Remarque :
      Ce paramètre est appliqué par défaut à toutes les collectes TAXII qui sont récupérées. Il existe une option pour remplacer le paramètre dans les collectes TAXII, si nécessaire.
      Pour plus d’informations, consultez Travaux planifiés et comment exécuter automatiquement un script de votre choix.
      Extraire les données de Date de début à partir de laquelle les données doivent être extraites. Ce champ doit être défini avec le délai à partir duquel les données doivent être ingérées à partir de la source correspondante. Une fois ce champ défini, l’exécution d’ingestion suivante extrait les données à partir de l’heure configurée et les exécutions d’ingestion consécutives extraient des données incrémentielles.

      Par exemple, la source est planifiée pour ingérer les données toutes les heures. L’utilisateur définit Extraire les données du 12 janvier à 6h00 le 12 janvier à 9h30. L’ingestion se déclenchant le 12 janvier à 10h00 permet d’extraire les données du 12 janvier à 6h00 au 12 janvier à 10h00. L’ingestion suivante qui se déclenche à 11h00 extrait uniquement les données incrémentielles du 12 janvier à 10h00 au 12 janvier à 11h00.

      Remarque :
      Cela signifie que les exécutions planifiées extrairont les données de façon incrémentielle à partir de la date spécifiée.
    6. Cliquer sur Valider la connexion
      Un message d’information s’affiche indiquant que la connexion du flux TAXII a réussi. Pour extraire les collections, passez à l’étape suivante.
    7. Cliquez sur Obtenir les collections TAXII.
      Remarque :
      En cas d’erreurs, un message d’erreur s’affiche indiquant qu’une erreur s’est produite lors de l’extraction des collectes TAXII et vérifiez les journaux pour plus de détails.

      Les collections TAXII sont affichées dans la section Collections TAXII et sont désactivées par défaut.

    8. Activez les collections TAXII pour récupérer les objets STIX disponibles dans ces collections TAXII.