Konfigurieren Sie einen neuen TAXII-Feed

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Sie können TAXII-Feeds verwalten, um STIX-formatierte Informationen freizugeben. Jeder TAXII-Feed enthält eine oder mehrere TAXII-Sammlungen.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    2. Klicken Sie auf Integrationen Symbol.
    3. Auswahlvorgang Bedrohungsinformationsfeeds > STIX-TAXII > TAXII-Feedsan.
      Hinweis:
      Konfigurieren Sie den TAXII-Feed so, dass er als Profil für alle TAXII-Sammlungen in dient.
    4. Klicken Sie Auf Konfigurieren Sie eine neue Quelle .
      Die Seite Neuen TAXII-Feed konfigurieren wird angezeigt.
    5. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Neue Datenquelle erstellen
      Feld Beschreibung
      Name Geben Sie einen Namen für den Feed ein.
      Beschreibung Beschreibung des Feeds.
      Quelltyp Der Typ der Quelle, z. B. Open Source, Premium Source usw., die für den Feed bereitgestellt wird. Die verfügbaren Quelltypen sind:
      • Regierung
      • ISACs
      • Open Source
      • Premium-Quelle
      • Andere Quelle
      Logo Hängen Sie das Logo des Quell-Feeds an.
      Branche Wählen Sie die Branchenkategorie aus, z. B. Luft- und Raumfahrt, Landwirtschaft usw., für die die Feed-Datenquelle gilt.

      Füllen Sie die Felder im Abschnitt Konfiguration entsprechend aus.

      Tabelle : 2. Konfiguration
      Feld Beschreibung
      TAXII-Version Wählen Sie die TAXII-Version des TAXII-Servers aus, die konfiguriert werden muss. Unterstützte Versionen sind 2,0 und 2,1.
      Konfigurationstyp Geben Sie einen Konfigurationstyp an, um TAXII-Sammlungen abzurufen. Verfügbare Werte sind:
      • Discovery-Service-URL : Wählen Sie die Discovery-Service-URL aus, um Sammlungen aus allen verfügbaren API-Stämmen im Discovery-Service des TAXII-Servers abzurufen.
      • API-Stamm-URL : Wählen Sie die API-Stamm-URL aus, um Sammlungen aus dem spezifischen API-Stamm des TAXII-Servers abzurufen.
      Authentifizierung Wählen Sie die erforderliche Option aus der Dropdown-Liste aus, wenn die Authentifizierung erforderlich ist. Verfügbare Optionen:
      • Keine : Wählen Sie diese Option aus, wenn keine Authentifizierung erforderlich ist.
      • Standard : Wählen Sie diese Option aus, um Anwendername und Passwort anzugeben.
      • API-Schlüssel : Wählen Sie diese Option aus, um einen API-Schlüssel bereitzustellen.
      • Wählen Sie eine REST-Nachricht aus : Wählen Sie diese Option für einen anderen Authentifizierungstyp aus. Die REST-Nachrichtenoptionen sind:
        • REST-Nachricht verwenden : Aktivieren Sie dieses Kontrollkästchen, wenn Sie eine REST-Nachricht zum Erstellen einer vor-Build-REST-Nachricht benötigen. Wenn Sie nicht auswählen, wird der Wert im Feld „Endpunkt“ verwendet. Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus.
        • REST-Methode : Aktivieren Sie dieses Kontrollkästchen, wenn Sie eine REST-Methode benötigen. Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Methode aus der Liste aus.
      Hinweis:
      Die Felder REST-Nachricht und REST-Methode werden verfügbar, wenn die Option REST-Nachricht ausgewählt ist.
      URL Geben Sie entweder die URL des TAXII-Server-Discovery-Service oder die spezifische API-Stamm-URL basierend auf dem ausgewählten Konfigurationstyp ein.
      Erweiterter Abschnitt
      Erweitert Aktivieren Sie das Kontrollkästchen, um ein anderes Integrationsskript und einen anderen Berichtsprozessor auszuwählen. Stellen Sie sicher, dass die ausgewählten Skripts mit der ausgewählten TAXII-Version kompatibel sind. Basierend auf der TAXII-Version und -Authentifizierung werden diese Skripts standardmäßig automatisch ausgefüllt.
      Integrationsskript Ruft einen Aufruf der REST-Endpunkt-URL-API mithilfe der Authentifizierungsparameter wie Authentifizierungstyp auf: Anwendername/Passwort/API-Schlüssel und die mit der Anforderung zu übergebenden Header. Dann ruft das Skript die STEX-Daten erkennbarer Elemente oder Indikatoren ab, die für den spezifischen Feed verfügbar sind.
      Hinweis:
      Die abgerufenen Daten sind nur die Rohdaten (es werden keine Datensätze erstellt), die an den Integrationsprozess angehängt und dann unter angezeigt werden können Integrationsausführung Abschnitt.
      Im Basissystem finden Sie die folgenden anwenderdefinierten Skripteinbindungen, die innerhalb der Anwendung für die Integrationsskripts bereitgestellt werden:
      • TAXIIV2_0QueryParamAPIKeyIntegrationScript
      • TAXIIV2_0BasicAuthIntegrationScript
      • TAXIIV2_1QueryParamAPIKeyIntegrationScript
      • TAXIIV2_1BasicAuthIntegrationScript
      Das Standardintegrationsskript basiert auf dem von Ihnen ausgewählten Feed-Typ. Das Skript enthält führt einen einfachen REST-Aufruf aus, speichert die Antwort als Anhang und gibt den Anhang dann an den Prozessor zurück.
      Berichtsprozessor-Skript Der Berichtsprozessor ruft einen Aufruf der REST-Endpunkt-URL auf.

      Im Basissystem finden Sie unten die anwenderdefinierten Skripteinbindungen, die in der Anwendung für die Integrationsskripts bereitgestellt werden. TAXIIV2CollectionDataProcessor .

      Füllen Sie die Felder im Abschnitt „Zeitplanung“ entsprechend aus.

      Tabelle : 3. Zeitplanung
      Feld Beschreibung
      Ausführungshäufigkeit von Sammlungen Das Zeitplanungsintervall, das auf die TAXII-Sammlungsdatensätze angewendet wird. Die Ausführungshäufigkeit für eine TAXII-Sammlung kann bei Bedarf in der Formularansicht der TAXII-Sammlung geändert werden.
      Hinweis:
      Diese Einstellung wird standardmäßig auf alle abgerufenen TAXII-Sammlungen angewendet. Es gibt eine Option, die Einstellung in TAXII-Sammlungen bei Bedarf zu überschreiben.
      Weitere Informationen finden Sie unter Geplante Aufgaben und wie ein Skript Ihrer Wahl automatisch ausgeführt wird .
      Daten abrufen von Das Startdatum, ab dem die Daten abgerufen werden mussten. Dieses Feld sollte mit der Zeit festgelegt werden, ab der die Daten aus der entsprechenden Quelle erfasst werden müssen. Sobald dieses Feld festgelegt ist, ruft die nächste Erfassungsausführung die Daten aus der konfigurierten Zeit ab, und aufeinanderfolgende Erfassungsausführungen rufen inkrementelle Daten ab.

      Beispielsweise ist „Quelle“ so geplant, dass die Daten stündlich erfasst werden. Der Anwender legt fest Daten Von Abrufen Bis zum 12. Januar 6:00 Uhr am 12. Januar 9:00 Uhr ruft die am 12. Januar 30 ausgelöste Erfassung die Daten vom 12. Januar 6:00 UHR bis 12. Januar 10:00 Uhr ab. Die nächste Erfassung, die um 11:00 Uhr ausgelöst wird, ruft nur die inkrementellen Daten vom 12. Januar 10:00 UHR bis 12. Januar 11:00 Uhr ab.

      Hinweis:
      Dies bedeutet, dass die geplanten Ausführungen ab dem angegebenen Datum inkrementell Daten abrufen.
    6. Klicken Sie Auf Validieren Sie Die Verbindung
      Es wird eine Informationsnachricht angezeigt, dass die TAXII-Feed-Verbindung erfolgreich ist. Um die Sammlungen abzurufen, fahren Sie mit dem nächsten Schritt fort.
    7. Klicken Sie Auf TAXII-Sammlungen abrufen .
      Hinweis:
      Wenn Fehler auftreten, wird eine Fehlermeldung angezeigt, dass beim Abrufen von TAXII-Sammlungen ein Fehler aufgetreten ist, und überprüfen Sie die Protokolle auf weitere Details.

      Die TAXII-Sammlungen werden im Abschnitt „TAXII-Sammlungen“ angezeigt und sind standardmäßig deaktiviert.

    8. Aktivieren Sie die TAXII-Sammlungen, um die in diesen TAXII-Sammlungen verfügbaren STIX-Objekte abzurufen.