Partage basé sur TAXII

Le partage basé sur TAXII permet un échange structuré et standardisé de renseignements sur les menaces entre les instances TISC. Dans ce modèle, l’instance source expose l’intelligence via les collectes TAXII, et l’instance cible récupère ces données à l’aide d’un flux TAXII configuré.

Configuration de l’instance TISC source

Effectuez les étapes suivantes dans l’instance source TISC avant de configurer l’instance cible.

1. Configurez les règles de partage global :

   Assurez-vous que les éléments suivants sont configurés et publiés en fonction de vos besoins :

   • Règles d'exclusion des données de renseignements sortants
   • Renseignements sortants : contrôles de partage

2. Créer des collectes TAXII : configurez les collectes TAXII requises dans l’instance source TISC . Pour obtenir des instructions, reportez-vous à la rubrique Créer une collection TAXII.

3. Créer des modèles de partage de renseignements sortants : créez et publiez un modèle de partage de renseignements sortant avec la configuration requise pour le partage TAXII. Pour obtenir des instructions, consultez Modèles de partage de renseignements sortants.
4. Ajouter des enregistrements à la collection TAXII : vous pouvez ajouter des enregistrements à l’aide de l’une des méthodes suivantes :
   • Ajout ad hoc via l’interface utilisateur graphique (GUI). Pour plus d’informations, consultez la rubrique Ajouter des enregistrements à une collection TAXII.
   • Ajout automatisé à l’aide de flux. Pour plus d’informations, consultez Automatiser le partage vers les collections TAXII.
5. Créer un utilisateur API TAXII pour l’instance TISC cible : créez un utilisateur API dédié dans l’instance source TISC pour l’authentification lorsque l’instance cible se connecte pour extraire des données d’intelligence.

   Affectez le rôle sn_sec_tisc.taxii_server_api_user.

Configuration de l’instance TISC cible

Une fois la configuration source terminée, configurez l’instance cible pour extraire l’intelligence de la source.

1. Créer un nouveau flux TAXII : dans l’instance cible TISC , créez un nouveau flux TAXII. Pour plus d’informations, consultez Configurer un nouveau flux TAXII.
2. Configurez le service de découverte : définissez le type de configuration sur URL du service de découverte et entrez l’URL suivante :

   https://{instance_name}/api/sn_sec_tisc/taxii_server/taxii2

3. Configurer l’authentification :
   • Sélectionnez Base comme méthode d’authentification.
   • Fournissez le nom d’utilisateur et le mot de passe de l’utilisateur TAXII d’API créé dans l’instance source.
4. Enregistrez la configuration :

   Validez la connexion, puis cliquez sur le bouton Obtenir les collectes TAXII pour récupérer les collectes activées TAXII à partir de l’instance source.

5. Activer et configurer l’ingestion :
   1. Accédez à la collection que vous souhaitez ingérer.
   2. Activez la collecte.
   3. Spécifiez l’heure de début extraction et la fréquence d’ingestion souhaitée.

   Tous les enregistrements ajoutés à la collection dans l’instance source après l’heure spécifiée sont transférés vers l’instance cible conformément au calendrier configuré.