Ajouter aux collections TAXII à partir de la vue de liste de la bibliothèque

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • La fonctionnalité Ajouter aux collections TAXII permet aux analystes d’ajouter les renseignements sur les menaces sélectionnés, y compris les observables, les indicateurs et les objets tels que les schémas d’attaque, les acteurs de menace, entre autres, directement aux collections TAXII.

    Avant de commencer

    Rôle requis : sn_sec_tisc.analyst

    Pourquoi et quand exécuter cette tâche

    Voici la procédure qui montre comment ajouter TAXII des collections à un observable.

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Bibliothèque de Renseignements sur les menaces > Observables > Tous les observables.
    2. Sélectionnez le type d’observable.
      Remarque :
      Le bouton Ajouter aux collections TAXII n’est pas disponible si vous sélectionnez Tous les observables. Pour activer ce bouton, vous devez sélectionner un type d’observable spécifique, par exemple E-mail.
    3. Cliquez sur le bouton Ajouter aux collections TAXII .
    4. Sélectionnez le modèle d’exemple de collections TAXII.

      Tous les modèles configurés sur la page Partage Intel sortant s’affichent ici, ce qui vous permet de sélectionner celui dont vous avez besoin. Pour plus d'informations, consultez Configuration des modèles de partage Intel sortants.

      Boîte de dialogue Ajouter aux collections TAXII affichant la liste déroulante de sélection du modèle avec les options de collecte disponibles.

    5. Sélectionnez Ajouter.
      Vous serez invité à sélectionner un modèle. Tous les modèles que vous avez créés précédemment sont répertoriés ici pour que vous puissiez les sélectionner.
    6. Une fois que vous avez sélectionné le modèle, sélectionnez Ajouter.
      Un enregistrement de tâche de collecte supplémentaire TAXII est créé pour suivre l’action.
    7. Cliquez sur l’enregistrement de tâche pour en afficher les détails.
      Vous verrez les enregistrements spécifiques qui ont été ajoutés avec succès à la collection TAXII.

      Ce processus permet de confirmer les éléments de renseignement qui ont été partagés et de fournir un enregistrement vérifiable de l’action.

      Remarque :
      Une propriété système sn_sec_tisc.add_to_taxii_collection_entity_threshold définit le nombre maximal d’entités (enregistrements d’observables) qui peuvent être ajoutées à une collection TAXII en une seule demande. Le système applique une limite stricte de 10 000 entités.
    8. Sélectionnez la section Enregistrement de l’enregistrement de tâche.
    9. Explorez la section Enregistrements de collection TAXII .
      Vous remarquerez que le ou les observables sélectionnés sont ajoutés à la collection TAXII et vous verrez également les règles d’exclusion.

      Les règles d’exclusion définissent les enregistrements ou les données à ne pas inclure lors de l’ajout d’éléments à une collection TAXII, garantissant ainsi que seules les informations prévues sont partagées. Chaque modèle est livré avec ses propres contrôles de modèle de partage, qui spécifient les attributs et les informations à inclure ou exclure pendant le partage.

      En outre, les règles d’exclusion vous permettent également d’empêcher automatiquement l’ajout de certains enregistrements à une collection TAXII.

      Tous les enregistrements qui correspondent aux critères définis dans ces règles sont exclus et ne peuvent pas être partagés. Par exemple, si une règle d’exclusion globale est configurée pour bloquer les domaines avec un état spécifique, tel que rouge ou effacé, tout enregistrement correspondant à cette condition sera automatiquement exclu.

      Lorsque vous tenterez d’ajouter de tels enregistrements à une collection TAXII, l’application indiquera qu’ils ont été exclus (voir la capture d’écran ci-dessous), ce qui garantit que seuls les renseignements prévus et autorisés sont partagés. Pour en savoir plus sur les règles d’exclusion, reportez-vous à la section Configuration de la règle d’exclusion des données Intel sortantes.

      Boîte de dialogue affichant la notification d’enregistrements exclus lors de l’ajout aux collections TAXII.

    Que faire ensuite

    Une fois que vous avez ajouté les enregistrements aux collections TAXII, accédez à Administration > Serveur sortant TAXII > Collections TAXII pour afficher les enregistrements ajoutés dans la section Enregistrements de collection TAXII . Pour plus d'informations, consultez Exploration du serveur sortant TAXII et Affichage des enregistrements de collection TAXII.

    Définitions de marquage pour les enregistrements ajoutés aux collections TAXII

    Lorsque vous ajoutez un enregistrement à une collection TAXII, l’application applique automatiquement des définitions de marquage pour fournir un contexte supplémentaire sur l’enregistrement.

    Par exemple :

    Si un enregistrement a une classification TLP (Traffic Light Protocol), telle que TLP White, un enregistrement de référence connexe est créé pour expliquer ce que signifie ce niveau TLP.

    Cela garantit que les utilisateurs accédant aux renseignements partagés connaissent les exigences de chaque enregistrement. Lorsqu’un enregistrement est ajouté à une collection, toutes les métadonnées ou tous les enregistrements contextuels pertinents, tels que les marquages TLP, sont automatiquement créés et liés.

    Remarque :
    Lors de l’ajout d’enregistrements, la valeur TLP (Traffic Light Protocol) associée aux enregistrements de renseignement est incluse en tant qu’objet de définition de marquage TLP 2.0. Pour plus d'informations, consultez Définir la définition de marquage.
    Gestion des règles d’exclusion globales dans les collections TAXII

    Dans la section Administration , vous pouvez afficher et gérer tous les paramètres liés à la configuration, y compris les règles d’exclusion globales. Ces règles déterminent quels enregistrements sont automatiquement exclus de l’ajout à une collection TAXII.

    Par exemple, une règle d’exclusion peut exclure les domaines marqués par TLP Rouge ou TLP Effacer. Vous pouvez personnaliser ces règles. Par exemple, vous pouvez la modifier pour exclure uniquement les enregistrements rouges TLP.

    Lorsque vous tentez d’ajouter des enregistrements à une collection TAXII :
    • Si tous les enregistrements sélectionnés correspondent aux règles d’exclusion, l’application empêche l’ajout de tout enregistrement.
    • Si certains enregistrements de la sélection sont valides, ces enregistrements sont ajoutés à la collection TAXII, tandis que les enregistrements exclus sont automatiquement filtrés.
    Pour en savoir plus sur les règles d’exclusion, reportez-vous à la section Configuration de la règle d’exclusion des données Intel sortantes.