TAXII 기반 공유

TAXII 기반 공유를 통해 TISC 인스턴스 간에 위협 인텔리전스를 체계적이고 표준화하여 교환할 수 있습니다. 이 모델에서 소스 인스턴스는 TAXII 컬렉션을 통해 인텔리전스를 노출하고 대상 인스턴스는 구성된 TAXII 피드를 사용하여 해당 데이터를 검색합니다.

소스 TISC 인스턴스 구성

대상 인스턴스를 구성하기 전에 소스 TISC 인스턴스에서 다음 단계를 완료합니다.

1. 전역 공유 규칙을 구성합니다.

   요구 사항에 따라 다음이 구성되고 게시되었는지 확인합니다.

   • 아웃바운드 인텔리전스 데이터 제외 규칙
   • 아웃바운드 인텔리전스 공유 통제

2. TAXII 컬렉션 생성: 소스 TISC 인스턴스에서 필요한 TAXII 컬렉션을 설정합니다. 지침은 TAXII 컬렉션 만들기를 참조하세요.

3. 아웃바운드 인텔리전스 공유 템플릿 생성: TAXII 공유에 필요한 구성으로 아웃바운드 인텔리전스 공유 템플릿을 생성하고 게시합니다. 지침은 아웃바운드 인텔리전스 공유 템플릿을 참조하십시오.
4. TAXII 컬렉션에 기록을 추가합니다. 다음 방법 중 하나를 사용하여 기록을 추가할 수 있습니다.
   • 그래픽 사용자 인터페이스(GUI)를 통한 임시 추가. 자세한 내용은 TAXII 컬렉션에 기록 추가를 참조하세요.
   • 플로우를 사용한 자동 추가입니다. 자세한 내용은 TAXII 컬렉션에 공유 자동화를 참조하세요.
5. 대상 TISC 인스턴스에 대한 TAXII API 사용자 생성: 대상 인스턴스가 인텔리전스 데이터를 가져오기 위해 연결할 때 인증을 위해 소스 TISC 인스턴스에 전용 API 사용자를 생성합니다.

   sn_sec_tisc.taxii_server_api_user 역할을 할당합니다.

대상 TISC 인스턴스 구성

소스 구성을 완료한 후 소스에서 인테리전스를 끌어오도록 대상 인스턴스를 구성합니다.

1. 새 TAXII 피드 생성: 대상 TISC 인스턴스에서 새 TAXII 피드를 생성합니다. 자세한 내용은 새 TAXII 피드 구성을 참조하세요.
2. 검색 서비스를 구성합니다. 구성 유형을검색 서비스 URL 로 설정하고 다음 URL을 입력합니다.

   https://{instance_name}/api/sn_sec_tisc/taxii_server/taxii2

3. 인증 구성:
   • 인증 방법으로 기본 을 선택합니다.
   • 소스 인스턴스에서 생성된 API 사용자의 사용자 이름과 암호를 TAXII 제공합니다.
4. 구성을 저장합니다.

   연결을 확인한 다음 TAXII 컬렉션 가져오기 버튼을 클릭하여 소스 인스턴스에서 활성화된 TAXII 컬렉션을 검색합니다.

5. 수집을 활성화하고 구성합니다.
   1. 수집하려는 컬렉션으로 이동합니다.
   2. 컬렉션을 사용하도록 설정합니다.
   3. 가져오기 시작 시간과 원하는 수집 빈도를 지정합니다.

   지정된 시간 이후에 소스 인스턴스의 컬렉션에 추가된 모든 기록은 구성된 일정에 따라 대상 인스턴스로 끌어와집니다.