Configurer un nouveau flux de renseignements sur les menaces

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 8 minutes de lecture

    • Ajoutez des sources externes de renseignements sur les menaces à votre TISC environnement. Configurez les paramètres du flux, l’authentification, la planification et le traitement des données pour ingérer automatiquement les indicateurs de menace provenant de diverses sources.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à la Tous > Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    2. Sélectionnez l’icône Intégrations .
    3. Sélectionner Flux de Threat Intelligence > Tous les flux.
    4. Sélectionnez Configurer une nouvelle source.
      Les différents types de flux s’affichent.

      Boîte de dialogue Sélectionner le type de flux affichant les options de flux avec MISP la sélection.

    5. Sélectionnez le type de flux requis.
    6. Remplissez les champs du formulaire.
      Tableau 1. Configurer une nouvelle source
      Champ Description
      Nom Nom du flux.
      Description Description du flux.
      Type de flux Le type de flux. Par exemple, MISP.

      Par défaut, cette valeur est affichée en fonction du type de flux que vous avez sélectionné dans le catalogue.
      Logo Logo du flux source.
      Remarque :
      La taille doit être de 72px/72px.
      Secteur Catégorie de l’industrie à laquelle l’aliment s’applique, comme l’aérospatiale ou l’agriculture.
      Type de source Type de source. Types de source disponibles :
      • Gouvernement
      • ISACs
      • Open source
      • Source premium
      • Autre source
    7. Sélectionnez Sélectionner.
    8. Renseignez les champs de la section Configuration comme il convient.
      Tableau 2. Détails de la configuration
      Champ Description
      Période d'expiration (jours) Nombre de jours avant l’expiration des données de flux ingérées. Par exemple, 180.
      Remarque :
      Les données ingérées à partir de la source expirent 180 jours après l’ingestion.
      Remplacer l'expiration source Lorsque cette option est sélectionnée, la configuration du profil remplace le délai d’expiration des enregistrements de flux entrants.
      Utiliser le message REST Lorsque cette option est sélectionnée, la fonctionnalité Message/Méthode REST fournie par ServiceNow AI Platform.

      Lorsque cette option est décochée, l’application utilise le point de terminaison fourni dans l’URL du point de terminaison REST pour extraire les données du flux. Pour plus d’informations, consultez Service Web REST sortant dans la ServiceNow AI Platform documentation.

      Important :
      Les champs Message REST et Méthode REST sont obligatoires lorsque vous sélectionnez Message REST.
      Message REST Enregistrement de message REST à partir de la liste des enregistrements de messages REST configurés dans l’instance. Pour plus d’informations, consultez Service Web REST sortant dans la ServiceNow AI Platform documentation.
      Remarque :
      Utilisez cette valeur pour afficher des en-têtes spécifiques et définir des enregistrements connexes REST à l’aide de l’option de message REST.
      Méthode REST Méthode REST dans la liste des méthodes REST disponibles configurées pour le message REST sélectionné. Pour plus d’informations, consultez Service Web REST sortant dans la ServiceNow AI Platform documentation.
      URL du point de terminaison REST URL du point de terminaison REST où les données sont hébergées par le flux de renseignements sur les menaces.
      Remarque :
      Pour MISP les types de flux, seules les URL des points de terminaison REST qui se terminent par /manifest.json sont prises en charge.
      Fiabilité Confiance pour tous les enregistrements applicables ingérés via ce flux spécifique.
      Remarque :
      Spécifiez la confiance comprise entre 0 et 100 pour cette source.
      Remplacer la fiabilité de la source Lorsque cette option est sélectionnée, la configuration du profil remplace la valeur de confiance du flux.
      Mécanisme d’analyse des données Mécanisme d’analyse des données. Options disponibles :
      • Extraction IoC automatisée : cette option est sélectionnée par défaut lors de la configuration des flux texte, CSV ou JSON.
      • Mappage de champs personnalisés : utilisez cette option pour définir la façon dont des champs spécifiques de vos données de flux doivent être mappés aux attributs observables.

        Une fois cette option sélectionnée, vous pouvez configurer les mappages dans la section Mappage de champ . Pour en savoir plus sur le mappage des champs personnalisés, reportez-vous à la section Configurer le mappage de champs personnalisés.
      Authentification requise Lorsque cette option est sélectionnée, l’authentification est requise pour le nouveau flux de renseignements sur les menaces.
      Remarque :
      Cela ne s’applique que lorsque l’URL du point de terminaison REST est utilisée pour récupérer les données.
      Type d'authentification Type d’authentification pour le flux source. Types d’authentification disponibles :
      • ID API/clé API
      • ID API/secret API
      • Clé API
      • Clé API/Secret API
      • Nom d’utilisateur API/Mot de passe de l’API/Clé de l’API
      • Authentification de base
      En-têtes à transmettre avec la demande Tous les en-têtes à transmettre avec les demandes peuvent être fournis dans Mappage d’en-tête de demande.
      • L’en-tête doit être fourni dans une paire clé-valeur séparée par deux-points (« : »).
      • Chaque paire clé-valeur d’en-tête doit être fournie dans une nouvelle ligne.
      • Pour fournir des paramètres d’authentification en tant que valeurs d’en-tête, encadrez l’étiquette d’authentification requise avec « ${ » et « }$ ». Par exemple, x-api-key :${API Key}$.
      Avancé Lorsque cette option est sélectionnée, vous pouvez définir un script d’intégration personnalisée et un script de processeur de rapport.
      Remarque :
      Lorsque cette case est cochée, les champs Script d’intégration et Processeur de rapport s’affichent pour vous permettre de sélectionner les scripts personnalisés.
      Script d'intégration Le script d’intégration appelle l’URL du point de terminaison REST à l’aide des paramètres d’authentification et des en-têtes configurés dans le flux, puis le script récupère les données disponibles à partir du flux spécifique.
      Includes de script personnalisés disponibles pour les scripts d’intégration :
      • MITRESourceIntegration : utilisé pour extraire les données des flux MITRE.
      • RSSFeedDatasourceIntegration : utilisé pour extraire les données à partir des flux RSS.
      • SimpleFeedDatasourceIntegration : utilisé pour extraire les données à partir de flux simples sans authentification ni authentification de base.
      • SimpleMISPFeedDatasourceIntegration : utilisé pour extraire les données des flux hébergés MISP .

      Le script d’intégration par défaut est basé sur le type de flux que vous sélectionnez. Par exemple, si vous sélectionnez MISP le type de flux qui est un format standard pour traiter et extraire les données, le script d’intégrations est SimpleMISPFeedDatasourceIntegration.

      Remarque :

      Pour les scripts d’intégration personnalisés, vous pouvez créer un include de script en étendant FeedDatasourceIntegrationBase et remplacer les méthodes requises.
      Script de processeur de rapport

      Le script de processeur de rapport traite les données extraites du flux à l’aide du script d’intégration.

      Scripts personnalisés disponibles pour le processeur de rapports :
      • AtomFeedDatasourceResponseProcessor : utilisé pour traiter les flux RSS au format Atom.
      • MITRECollectionDataProcessor : utilisé pour traiter les flux MITRE.
      • RSSFeedDatasourceResponseProcessor : utilisé pour traiter les flux RSS.
      • SimpleDataplaneFeedResponseProcessor : utilisé pour traiter les flux de plans de données.
      • SimpleFeedDatasourceResponseProcessor : utilisé pour traiter des flux simples à l’aide de l’extraction d’observables par expression régulière.
      • SimpleFeodotrackerFeedResponseProcessor : Utilisé pour traiter les flux Feodotracker.
      • SimpleMISPFeedDatasourceResponseProcessor : utilisé pour traiter les flux hébergés MISP .
      • TAXIIV2CollectionDataProcessor : utilisé pour traiter TAXII les données de collecte.

      Le processeur de rapport par défaut pour MISP les flux est SimpleMISPFeedDatasourceResponseProcessor. Ce processeur est préconfiguré par l’application et ne peut être ni modifié ni remplacé.
    9. Renseignez les champs de la section Planification comme il convient.
      Tableau 3. Ordonnancement
      Champ Description
      Exécuter Fréquence à laquelle ingérer les enregistrements. L’ingestion de flux exécute la tâche et s’exécute en fonction de l’intervalle de tâche planifié. Les intervalles de tâches disponibles sont les suivants :
      • Quotidien
      • Hebdomadaire
      • Tous les mois
      • Périodiquement
      • Une fois
      • Sur demande
      • Calendrier d'entreprise : début de l'entrée
      • Calendrier d'entreprise : fin de l'entrée
      Remarque :
      Par défaut, la fréquence est définie sur Sur demande.
      Pour plus d’informations, consultez Travaux planifiés et comment exécuter automatiquement un script de votre choix.
      Extraire les données de Date de début à partir de laquelle extraire les données. Attribuez à ce champ l’heure à partir de laquelle les données doivent être ingérées à partir de la source correspondante. Une fois cette valeur définie, l’exécution d’ingestion suivante récupère les données de l’heure configurée et les exécutions d’ingestion consécutives extraient les données incrémentielles en fonction de la fréquence d’exécution.

      Par exemple, la source est planifiée pour ingérer les données toutes les heures. L’utilisateur définit Extraire les données du 12 janvier à 6 h 00 le 12 janvier à 9 h 30, le déclenchement de l’ingestion le 12 janvier à 10 h 00 permet de récupérer les données du 12 janvier à 6 h 00 au 12 janvier à 10 h 00. L’ingestion suivante qui se déclenche à 11h00 extrait uniquement les données incrémentielles du 12 janvier à 10h00 au 12 janvier à 11h00.

      Remarque :
      Cela signifie que les exécutions planifiées extrairont les données de façon incrémentielle à partir de la date spécifiée.
      Important :
      Le champ Extraire les données à partir de ne s’applique pas aux flux texte, CSV ou JSON.
      Tableau 4. Informations supplémentaires
      Champ Description
      URL du média URL de la source média utilisée pour récupérer les données du flux de Renseignements sur les menaces.
      URL commentaires de flux Lien fourni par la source RSS pour les commentaires.
      Tableau 5. Balises TISC
      Champ Description
      Sélectionner des TISC balises Balises pour annoter ou identifier les enregistrements ingérés dans le système à partir de cette source. Entrez le nom de la balise dans la barre de recherche pour choisir les balises disponibles ou saisissez un nouveau nom de balise et sélectionnez Ajouter pour l’affecter à la source.
    10. Sélectionnez l’action Enregistrer pour stocker et créer le flux.
      Le système valide les détails fournis et, par défaut, l’état du flux est inactif.
    11. Facultatif : Sélectionnez l’action Enregistrer comme brouillon pour stocker uniquement les configurations de flux comme brouillon.
      Vous ne pouvez pas activer un flux lorsqu’il est enregistré comme brouillon. Utilisez cette option lorsque vous n’êtes pas sûr des détails de la configuration.
    12. Sélectionnez Activer pour activer l’enregistrement.
      Une fois l’enregistrement du flux de renseignements sur les menaces activé, vous pouvez l’exécuter pour exécuter l’intégration.
      Remarque :
      • L’enregistrement du flux des renseignements sur les menaces est étiqueté et indiqué comme activé. De même, vous pouvez désactiver le flux de renseignements sur les menaces en sélectionnant le bouton Désactiver .
      • Vous pouvez également activer, désactiver ou supprimer un flux particulier à l’aide du menu Actions de la vignette du flux requis sur la page Catalogue ou Flux de Renseignements sur les menaces .
    13. Facultatif : Sélectionnez Supprimer pour supprimer l’enregistrement du flux des renseignements sur les menaces.
    14. Sélectionnez la section Exécution des intégrations pour vérifier les détails de l’exécution.
      Remarque :
      Cette procédure de configuration s’applique à tous les types de flux de renseignements sur les menaces, à l’exception de STIX TAXII. Pour en savoir plus sur la configuration STIX TAXII , reportez-vous à la section Configurer un nouveau TAXII flux.