Alle Feeds

Das Basissystem enthält eine Reihe von Karten für jeden der Feeds, die Sie aktivieren und verwenden können.

Die Feeds können angezeigt werden, indem Sie zu navigieren Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Integrationen > Bedrohungsinformationsfeeds > Alle Feeds.

Aktionen in der Ansicht „Alle Feeds“.

Im Abschnitt „Alle Feeds“ können Sie die folgenden Aktionen ausführen.

Tabelle : 1. Aktionen in der Ansicht „Alle Integrationen“.

Aktion	Beschreibung
Alle	Verwenden Sie dieses Dropdown-Menü, um Feeds basierend auf ihrem aktuellen Status zu filtern. Sie können basierend auf den folgenden Status filtern: Alle: Zeigt alle Feeds auf der Seite an. Dies ist die Standardoption. Aktiviert: Zeigt alle Feeds an, die sich im Status „Aktiviert“ befinden. Deaktiviert: Zeigt alle Feeds an, die sich im Status „Deaktiviert“ befinden. Entwurf: Zeigt alle Feeds an, die sich im Entwurfsstatus befinden.
	Diese Aktion verwenden, um alle Feeds in Form von Karten anzuzeigen.
	Diese Aktion verwenden, um alle Feeds in Form einer Listenansicht anzuzeigen.
	Diese Aktion verwenden, um die Seite zu aktualisieren.
	Verwenden Sie diese Aktion, um alle Integrationen basierend auf den folgenden Kriterien zu sortieren: Zuletzt geändert (aktuell) Zuletzt geändert (am ältesten) Name A–Z Name (Z–A)
Alle Elemente	Diese Aktion verwenden, um die Kacheln für Threat Intelligence-Feeds nach Quelltyp oder Feed-Typ zu filtern und aufzulisten. Quelltyp: Open Source Andere Quelle Premium-Quelle Feed-Typ: CSV Anwenderdefinierter Feed JSON MISP RSS STIX-HTTPS Text
In Katalog suchen	Diese Aktion verwenden, um basierend auf dem Namen und der Beschreibung im Katalog nach Feeds zu suchen.

Konfigurieren Sie eine neue Datenquelle für Threat Intelligence-Feeds

Um eine neue Datenquelle für einen Threat Intelligence-Feed zu konfigurieren, gehen Sie wie folgt vor:

1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum.
2. Klicken Sie auf das Symbol Integrationen.
3. Auswahlvorgang Bedrohungsinformationsfeeds > Alle Feeds.
4. Klicken Sie auf Neue Quelle konfigurieren. Die verschiedenen Feed-Typen werden angezeigt.

   

5. Wählen Sie den entsprechenden Feed-Typ aus. Beispiel: MISP.
6. Klicken Sie auf Auswählen.
7. Füllen Sie die Felder des Formulars aus.

   Tabelle : 2. Neue Datenquelle erstellen

   Feld	Beschreibung
   Name	Geben Sie einen Namen für den Feed ein.
   Beschreibung	Beschreibung des Feeds.
   Feed-Typ	Der Feed-Typ. Beispiel: MISP. Standardmäßig wird dieser Wert basierend auf dem Feed-Typ angezeigt, den Sie im Katalog ausgewählt haben.
   Logo	Hängen Sie das Logo des Quell-Feeds an.
   Branche	Wählen Sie die Branchenkategorie aus, z. B. Luft- und Raumfahrt, Landwirtschaft usw., für die die Feed-Datenquelle gilt.
   Quelltyp	Wählen Sie den Quelltyp aus der Liste der verfügbaren Quelltypen aus. Liste der verfügbaren Quellen: Regierung ISACs Open Source Premium-Quelle Andere Quelle

   Füllen Sie die Felder im Abschnitt Konfiguration entsprechend aus.

   Tabelle : 3. Konfiguration

   Feld	Beschreibung
   Ablaufzeitraum (in Tagen)	Geben Sie den Ablaufzeitraum für den Feed in Tagen ein. Zum Beispiel 180 Tage. Hinweis: Alle aus der Quelle erfassten Daten laufen 180 Tage nach der Erfassung ab.
   Verwenden Sie die REST-Nachricht	Aktivieren Sie das Kontrollkästchen REST-Nachricht verwenden, wenn Sie die von Now Platformbereitgestellte REST-Nachrichten-/REST-Methoden-Funktion verwenden müssen. Wenn dieses Kontrollkästchen nicht aktiviert ist, verwendet die Anwendung den in der REST-Endpunkt-URL angegebenen Endpunkt, um die Daten aus dem Feed abzurufen. Weitere Informationen finden Sie unter Ausgehender REST-Webservice in der Dokumentation Now Platform. Hinweis: Die Felder „REST-Nachricht“ und „REST-Methode“ sind obligatorisch, wenn Sie die REST-Nachricht auswählen.
   REST-Nachricht	Wählen Sie den REST-Nachrichtendatensatz aus der Liste der REST-Nachrichtendatensätze aus, die bereits in der Instanz konfiguriert sind. Weitere Informationen finden Sie unter Ausgehender REST-Webservice in der Now Platform-Dokumentation. Hinweis: Wählen Sie diesen Wert aus, wenn Sie bestimmte Header anzeigen und die zugehörigen REST-Datensätze mit der REST-Nachrichtenoption definieren müssen.
   REST-Methode	Wählen Sie die REST-Methode aus der Liste der verfügbaren REST-Methoden aus, die für die ausgewählte REST-Nachricht konfiguriert sind. Weitere Informationen finden Sie unter Ausgehender REST-Webservice in der Now Platform-Dokumentation.
   Vertrauen	Legen Sie die Konfidenz für alle zutreffenden Datensätze fest, die über diesen spezifischen Feed erfasst werden. Hinweis: Legen Sie die Konfidenz für diese Quelle zwischen 0 und 100 fest.
   REST-Endpunkt-URL	Geben Sie die REST-Endpunkt-URL ein, unter der die Daten von der Datenquelle gehostet werden.
   Authentifizierung erforderlich	Aktivieren Sie dieses Kontrollkästchen, wenn für Ihre neue Datenquelle eine Authentifizierung erforderlich ist. Hinweis: Fügen Sie eine Anweisung hinzu, in der angegeben wird, dass dies nur gilt, wenn die REST-Endpunkt-URL zum Abrufen der Daten verwendet wird.
   Authentifizierungstyp	Der Authentifizierungstyp für den Quell-Feed. Im Folgenden sind die Authentifizierungstypen aufgeführt, die im Basissystem für die Benutzer konfiguriert und bereitgestellt werden: API-ID/API-Schlüssel API-ID/API-Geheimnis API-Schlüssel API-Schlüssel/API-Geheimnis API-Anwendername/API-Passwort/API-Schlüssel Standardauthentifizierung Hinweis: Der Authentifizierungstyp im Basissystem für den anwenderdefinierten Quell-Feed-Typ sind „Client-ID“ und „Geheimer Clientschlüssel“.
   Header, die mit der Anforderung übergeben werden sollen	Alle Header, die mit den Anforderungen übergeben werden sollen, können in der Anforderungsheaderzuordnung angegeben werden. Der Header muss als Schlüssel-Wert-Paar angegeben werden, das durch einen Doppelpunkt (':') getrennt ist. Jedes Header-Schlüssel-Wert-Paar muss in einer neuen Zeile angegeben werden. Um Authentifizierungsparameter als Headerwerte bereitzustellen, schließen Sie die erforderliche Authentifizierungsbezeichnung in „${“ und „}$“ ein. Beispiel: x-api-key:${API-Schlüssel}$.
   Erweitert	Aktivieren Sie dieses Kontrollkästchen, um ein anwenderdefiniertes Integrationsskript und ein Berichtsprozessorskript zu definieren. Hinweis: Wenn Sie dieses Kontrollkästchen aktivieren, werden die Felder „Integrationsskript“ und „Berichtsprozessor“ angezeigt, in denen Sie die anwenderdefinierten Skripts auswählen können.
   Integrationsskript	Das Integrationsskript löst einen Aufruf an die REST-Endpunkt-URL aus und verwendet dazu die Authentifizierungsparameter und Header, wie sie im Feed konfiguriert sind. Anschließend ruft das Skript die Daten ab, die aus dem spezifischen Feed verfügbar sind. Im Basissystem sind die folgenden anwenderdefinierten Skripteinbindungen aufgeführt, die in der Anwendung für die Integrationsskripts bereitgestellt werden: FeedDatasourceIntegrationBase MITRESourceIntegration RSSFeedDatasourceIntegration SimpleFeedDatasourceIntegration SimpleMISPFeedDatasourceIntegration Das standardmäßige Integrationsskript basiert auf dem von Ihnen ausgewählten Feed-Typ. Wenn Sie beispielsweise den Feed-Typ MISP auswählen, der ein Standardformat zum Verarbeiten und Abrufen der Daten ist, lautet das Integrationsskript SimpleFeedDatasourceIntegration. Hinweis: Für die anwenderdefinierten Integrationsskripts können Sie eine Skripteinbindung erstellen, indem Sie FeedDatasourceIntegrationBase erweitern und die erforderlichen Methoden überschreiben.
   Berichtsprozessor-Skript	Das Skript des Berichtsprozessors verarbeitet die Daten, die aus dem Feed abgerufen werden, mithilfe des Integrationsskripts. Im Basissystem sind die folgenden anwenderdefinierten Skripteinbindungen aufgeführt, die in der Anwendung für die Integrationsskripts bereitgestellt werden: FeedDatasourceResponseProcessor MITRECollectionDataProcessor RSSFeedDatasourceResponseProcessor SimpleFeedDatasourceResponseProcessor SimpleMISPFeedDatasourceResponseProcessor TAXIIV2CollectionDataProcessor Der standardmäßige Berichtsprozessor für STIX HTTPS ist TAXIIV2CollectionDataProcessor. Standardmäßig wird diese Option angezeigt, und Sie können keinen anderen Berichtsprozessor ändern oder auswählen.

   Füllen Sie die Felder im Abschnitt „Zeitplanung“ entsprechend aus.

   Tabelle : 4. Zeitplanung

   Feld	Beschreibung
   Ausführen	Legen Sie die Häufigkeit fest, mit der Sie die Datensätze erfassen möchten. Der Feed wird basierend auf dem Intervall des geplanten Auftrags ausgeführt. Die verfügbaren Auftragsintervalle sind: Täglich Wöchentlich Monatlich In regelmäßigen Abständen Einmal Bei Bedarf Geschäftskalender: Eintragsbeginn Geschäftskalender: Eintragsende Hinweis: Standardmäßig ist die Häufigkeit auf Bei Bedarf festgelegt. Weitere Informationen finden Sie unter Geplante Aufgaben und Automatische Ausführung eines Skripts Ihrer Wahl.
   Daten abrufen von	Startdatum, ab dem die Daten abgerufen werden müssen. In diesem Feld sollte die Zeit festgelegt werden, ab der die Daten aus der entsprechenden Quelle erfasst werden müssen. Sobald dieses Feld festgelegt ist, ruft die nächste Erfassungsausführung die Daten ab der konfigurierten Zeit ab, und nachfolgende Erfassungsausführungen rufen inkrementelle Daten ab. Beispiel: Quelle ist so geplant, dass die Daten stündlich erfasst werden. Der Anwender legt „Daten abrufen von“ am 12. Januar um 9:30 Uhr auf 6:00 Uhr fest. Die Erfassung, die am 12. Januar um 10:00 Uhr ausgelöst wird, würde die Daten vom 12. Januar 6:00 Uhr bis zum 12. Januar 10:00 Uhr abrufen. Bei der nächsten Erfassung, die um 11:00 Uhr ausgelöst wird, werden nur die inkrementellen Daten vom 12. Januar, 10:00 Uhr, bis zum 12. Januar, 11:00 Uhr abgerufen. Hinweis: Dies bedeutet, dass die geplanten Ausführungen ab dem angegebenen Datum inkrementell Daten abrufen.

   Tabelle : 5. Tags

   Feld	Beschreibung
   Tags auswählen	Verwenden Sie die Tags, um Datensätze, die aus dieser Quelle im System erfasst werden, mit Anmerkungen zu versehen oder mit Tags zu versehen. Beginnen Sie mit der Eingabe des Tag-Namens in der Suchleiste, um die verfügbaren Tags in der Anwendung auszuwählen, oder geben Sie einen neuen Tag-Namen ein, und klicken Sie auf Hinzufügen, um ihn der Quelle zuzuweisen.

8. Klicken Sie auf die Aktion Speichern, um den Feed zu speichern und zu erstellen.

   Die angegebenen Details werden validiert, und standardmäßig ist der Feeds-Status deaktiviert.

9. (Optional) Klicken Sie auf die Aktion Als Entwurf speichern, um nur die Feedkonfigurationen als Entwurf zu speichern. Anwender können einen Feed nicht aktivieren, wenn er als Entwurf gespeichert ist.

   Wenn Sie sich bezüglich der Konfigurationsdetails nicht sicher sind, können Sie die Option Als Entwurf speichern verwenden. Nachdem Sie die Konfigurationsdetails abgerufen haben, können Sie die verbleibenden Informationen in die Entwurfsversion eintragen und sie erstellen.

10. Um den Feed zu aktivieren, klicken Sie auf Aktivieren.
    Der Feed wurde erfolgreich aktiviert. Sie können einen bestimmten Feed auch über das Menü „Aktionen“ der erforderlichen Feed-Kachel auf der Seite „Katalog“ oder „Threat Intel Feeds“ aktivieren, deaktivieren oder löschen.

    Hinweis:

    Wenn die Ausführungshäufigkeit im Abschnitt „Zeitplanung“ der Datenquellen-Formularseite auf „Bei Bedarf“ festgelegt ist, wird bei jeder Aktivierung der Integration eine Meldung angezeigt, die die Benutzer darüber informiert, dass die Quelle jetzt erfolgreich aktiviert wurde. Sie müssen die Ausführungshäufigkeit ändern, damit die Quellkonfiguration Daten automatisch erfassen kann.
11. Klicken Sie auf Aktivieren, um den Datensatz zu aktivieren.
    Sobald der Datensatz der Feed-Datenquelle aktiviert ist, können Sie ihn ausführen, um die Integration auszuführen.

    Hinweis:

    Der Datenquelldatensatz erhält die Bezeichnung und wird als aktiviertangezeigt. Ebenso können Sie den Datenquellen-Feed deaktivieren, indem Sie auf die Schaltfläche Deaktivieren klicken.
12. Klicken Sie auf Löschen, um den Datensatz der Feed-Datenquelle zu löschen.
13. Wählen Sie den Abschnitt Integrationsausführung aus, um die Ausführungsdetails zu überprüfen.

Arten von Bedrohungsinformationenfeeds

Die nächsten Schritte im Verfahren finden Sie im entsprechenden Abschnitt zum Konfigurieren der einzelnen spezifischen Feed-Typen. Threat Intelligence-Feeds.