Configure um novo feed de inteligência contra ameaças

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 8 min. de leitura

    • Configure o novo feed de inteligência contra ameaças.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Para configurar um novo feed de inteligência contra ameaças, siga o procedimento:

    Procedimento

    1. Navegar até Tudo > Espaços > Central de segurança de inteligência contra ameaças.
    2. Clique em Integrações ícone.
    3. Selecionar Feeds de inteligência contra ameaça > Todos os Feeds.
    4. Clique em Configurar nova origem .
      Os vários tipos de feed são exibidos.

      TISC Todos os feeds - Configure a nova origem

    5. Selecione o respectivo tipo de feed.
    6. No formulário, preencha os campos.
      Tabela 1. Configurar nova origem
      Campo Descrição
      Nome Insira um nome para o feed.
      Descrição Descrição do feed.
      Tipo de feed O tipo de feed. Por exemplo, MISP.

      Por padrão, este valor é exibido com base no tipo de feed selecionado no Catálogo.
      Logotipo Anexe o logotipo do feed de origem.
      Nota:
      O tamanho deve ser 72px/72px.
      Setor Selecione a categoria do setor, como Aeroespacial, Agricultura e assim por diante, para a qual o feed é aplicável.
      Tipo de Origem Selecione o tipo de origem na lista de tipos de origem disponíveis. A lista de origens disponíveis é:
      • Governo
      • ISACs
      • Código aberto
      • Origem Premium
      • Outra origem
    7. Clique em “Selecionar”.
    8. Preencha os campos na seção Configuração, conforme apropriado.
      Tabela 2. Configuração
      Campo Descrição
      Período de expiração (dias) Insira o período de expiração do feed em dias. Por exemplo, 180 dias.
      Nota:
      Quaisquer que sejam os dados ingeridos da origem expirarão 180 dias após a ingestão.
      Usar mensagem REST Selecione Usar mensagem REST Se você precisar usar a funcionalidade Mensagem REST/Método REST fornecida por ServiceNow AI Platform.

      Se esta caixa de seleção não estiver marcada, a aplicação usará o endpoint fornecido em URL do endpoint REST para buscar os dados do feed. Para obter mais informações, consulte Serviço web REST de saída ativado ServiceNow AI Platform documentação.

      Nota:
      Os campos Mensagem REST e Método REST são obrigatórios quando você seleciona a mensagem REST.
      Mensagem REST Selecione o registro Mensagem REST na lista de registros de mensagem REST que já estão configurados na instância. Para obter mais informações, consulte Serviço web REST de saída em ServiceNow AI Platform documentação.
      Nota:
      Selecione este valor quando precisar exibir cabeçalhos específicos e definir os registros relacionados AO REST usando a opção de mensagem REST.
      Método REST Selecione Método REST na lista de métodos REST disponíveis configurados para a mensagem REST selecionada. Para obter mais informações, consulte Serviço web REST de saída em ServiceNow AI Platform documentação.
      Confiança Defina a confiança para todos os registros aplicáveis que são ingeridos por meio deste feed específico.
      Nota:
      Defina a confiança entre 0-100 para esta origem.
      Mecanismo de análise de dados Selecione a opção de mecanismo de análise de dados apropriada. As opções disponíveis são:
      • Extração IOC automatizada : Esta opção é selecionada por padrão ao configurar feeds de texto, CSV ou JSON.
      • Mapeamento de campo personalizado : Selecione esta opção se quiser definir como os campos específicos nos dados do feed devem ser mapeados para os atributos observáveis.

        Uma vez selecionado, você pode configurar os mapeamentos no Mapeamento de campo seção. Para obter informações mais detalhadas sobre o mapeamento de campo personalizado, consulte Configurar Mapeamento de campo personalizado.

      Nota:
      A opção Mecanismo de análise de dados só está disponível para feeds de texto, CSV e JSON, em que os feeds Processador de relatório está definido como SimpleFeedDatasourceResponseProcessor .
      URL do endpoint REST Insira o URL do endpoint REST em que os dados são hospedados pelo feed de inteligência contra ameaças.
      Nota:
      Para tipos de feed MISP, os URLs do endpoint REST que terminam com /manifest.json são compatíveis.
      Autenticação Necessária Marque esta caixa de seleção se a autenticação for necessária para seu novo feed de inteligência contra ameaças.
      Nota:
      Isso só é aplicável quando a URL do endpoint REST está sendo usada para recuperar os dados.
      Tipo de autenticação O tipo de autenticação do feed de origem. A seguir estão os tipos de autenticação configurados e provisionados no sistema de base para os usuários:
      • ID DA API/CHAVE DE API
      • ID DA API/SEGREDO DA API
      • Chave de API
      • Chave de API/Segredo da API
      • Nome de usuário da API/Senha da API/Chave de API
      • Autenticação básica
      Cabeçalhos a serem passados com a solicitação Quaisquer cabeçalhos a serem passados com as solicitações podem ser fornecidos no Mapeamento de cabeçalho da solicitação.
      • O cabeçalho deve ser fornecido no par chave-valor separado por dois pontos (':').
      • Cada par de valor de chave de cabeçalho deve ser fornecido em uma nova linha.
      • Para fornecer parâmetros de autenticação como valores de cabeçalho, coloque o Rótulo de autenticação necessário com " Por exemplo, x-api-key:
      Avançado Marque esta caixa de seleção para definir o script de integração personalizado e o script do processador de relatórios.
      Nota:
      Ao marcar esta caixa de seleção, o Script de integração e. Processador de relatório os campos serão exibidos para você selecionar os scripts personalizados.
      Script de integração O script de integração invoca uma chamada para o URL do endpoint REST usando os parâmetros de autenticação e os cabeçalhos conforme configurados no feed e, em seguida, o script busca os dados que estão disponíveis no feed específico.
      A seguir estão as inclusões de scripts personalizados disponíveis, que são provisionadas na aplicação para os scripts de integrações:
      • MITERSourceIntegration: Usado para buscar os dados dos feeds MITRE.
      • RSSFeedDatasourceIntegration: Usado para buscar os dados de feeds RSS.
      • SimpleFeedDatasourceIntegration: Usado para buscar os dados de feeds simples sem autenticação ou autenticação básica.
      • SimpleMISPFeedDatasourceIntegration: Usado para buscar os dados de feeds MISP hospedados.

      O script de integração padrão é baseado no tipo de feed selecionado. Por exemplo, se você selecionar o tipo de feed MISP, que é um formato padrão para processar e buscar os dados, o script de integrações será SimpleMISPFeedDatasourceIntegration .

      Nota:

      Para os scripts de integração personalizada, você pode criar uma inclusão de script estendendo FeedDatasourceIntegrationBase e substituem os métodos necessários.
      Processador de relatórios

      O script do processador de relatório processa dados obtidos do feed usando o script de integração.

      O sistema de base inclui os seguintes scripts personalizados, que são provisionados na aplicação para oferecer suporte ao script do processador de relatórios:
      • Atom FeedDatasourceResponseProcessor: Usado para processar feeds RSS no formato Atom.
      • MITRE CollectionDataProcessor: Usado para processar feeds MITRE.
      • RSSFeedDatasourceResponseProcessor: Usado para processar feeds RSS.
      • SimpleDataplaneFeedResponseProcessor: Usado para processar feeds do plano de dados.
      • SimpleFeedDatasourceResponseProcessor: Usado para processar feeds simples usando extração de expressão regular de observáveis.
      • SimpleFeodotrakerFeedResponseProcessor: Usado para processar feeds do Feodotracker.
      • SimpleMISPFeedDatasourceResponseProcessor: Usado para processar feeds MISP hospedados.
      • TAXIIV2CollectionDataProcessor: Usado para processar dados da coleção TAXII.

      O processador de relatório padrão para feeds MISP é SimpleMISPFeedDatasourceResponseProcessor . Este processador é pré-configurado pela aplicação e não pode ser modificado ou substituído.
    9. Preencha os campos na seção Programação, conforme apropriado.
      Tabela 3. Programando
      Campo Descrição
      Executar Defina a frequência na qual você deseja ingerir os registros. O feed será executado e executado com base no intervalo de trabalho de programação. Os intervalos de trabalho disponíveis são:
      • Diariamente
      • Semanalmente
      • Mensalmente
      • Periodicamente
      • Uma vez
      • Sob demanda
      • Calendário comercial: início da entrada
      • Calendário comercial: fim da entrada
      Nota:
      Por padrão, a frequência é definida como Sob demanda.
      Para obter mais informações, consulte Trabalhos agendados e como executar automaticamente um script de sua escolha .
      Buscar dados de A data de início a partir da qual os dados precisavam ser obtidos. Este campo deve ser definido com a hora a partir da qual os dados precisam ser ingeridos da origem correspondente. Depois que este campo for definido, a próxima execução de ingestão buscará os dados do tempo configurado e as execuções de ingestão consecutivas buscarão dados incrementais.

      Por exemplo, a Origem está programada para ingerir os dados a cada hora. Os conjuntos do usuário Buscar dados de Em 12 6:00AM de janeiro, em 12 9 de janeiro, a ingestão acionada em 12 10:00AM de janeiro buscaria os dados de 12 6:00AM de janeiro a 12 10 de janeiro. A próxima ingestão que é acionada às 11:00AM buscará somente os dados incrementais de 12 10:00AM de janeiro a 12 11 de janeiro.

      Nota:
      Isso significa que as execuções programadas buscarão dados incrementalmente a partir da data especificada em diante.
      Importante:
      Isso não se aplica a feeds de texto, CSV e JSON.
      Tabela 4. Marcadores
      Campo Descrição
      Selecionar marcadores Use os marcadores para anotar ou marcar registros que são ingeridos no sistema a partir desta origem. Comece a inserir o nome do marcador no Pesquisa para escolher os marcadores disponíveis na aplicação ou insira o novo nome do marcador e clique em Adicionar para atribuí-lo à origem.
    10. Clique em Salvar ação para armazenar e criar o feed.
      Os detalhes fornecidos são validados e, por padrão, o status dos feeds é desabilitado.
    11. Opcional: Clique em Salvar como rascunho ação para armazenar somente as configurações do feed como rascunho.
      Os usuários não podem habilitar um feed quando ele é salvo em rascunho. Se você não tiver certeza sobre os detalhes da configuração, poderá usar Salvar como rascunho opção. Depois de obter os detalhes da configuração, você pode preencher as informações restantes na versão de rascunho e criá-la.
    12. Clique em Habilitar para habilitar o registro.
      Quando o registro do feed de inteligência contra ameaças estiver habilitado, você poderá executar o registro para executar a integração.
      Nota:
      • O registro do feed de inteligência contra ameaças é rotulado e indicado como habilitado . Da mesma forma, você pode desabilitar o feed de inteligência contra ameaças clicando em Desabilitar botão.
      • Você também pode habilitar, desabilitar ou excluir um feed específico usando Ações menu do bloco de feed necessário no Catálogo ou Feeds de informações sobre ameaças página.
    13. Clique em Excluir para excluir o registro do feed de inteligência contra ameaças.
    14. Selecione Integrações executadas seção para verificar os detalhes da execução.
      Nota:
      O procedimento de configuração do feed de inteligência contra ameaças acima é o mesmo para todos os outros tipos de feed de inteligência contra ameaças, exceto para STIX TAXII. Para obter mais informações sobre como o STIX TAXII é configurado, consulte Configure um novo Feed TAXII.