Tous les flux

Le système de base comprend une série de cartes pour chacun des flux que vous pouvez activer et utiliser.

Vous pouvez consulter les flux en accédant à Espaces de travail > Centre de sécurité des renseignements sur les menaces > Intégrations > Flux de Threat Intelligence > Tous les flux.

Actions sur la vue Tous les flux

La section Tous les flux vous permet d’effectuer les actions suivantes.

Tableau 1. Actions sur la vue Toutes les intégrations

Action	Description
Tout	Ce menu déroulant vous permet de filtrer les flux en fonction de leur état actuel. Vous pouvez filtrer en fonction des états suivants : Tout : affiche tous les flux de la page. Il s'agit de l'option par défaut. Activé : affiche tous les flux qui sont à l’état Activé. Désactivé : affiche tous les flux qui sont à l’état désactivé. Brouillon : affiche tous les flux qui sont à l’état brouillon.
	Utilisez cette action pour afficher tous les flux sous forme de cartes.
	Utilisez cette action pour afficher tous les flux sous la forme d’une vue de liste.
	Utilisez cette action pour actualiser la page.
	Utilisez cette action pour trier toutes les intégrations en fonction des éléments suivants : Dernière modification (récente) Dernière modification (la plus ancienne) Nom (A-Z) Nom (de Z à A)
Tous les éléments	Utilisez cette action pour filtrer et répertorier les vignettes de flux Threat Intelligence par type de source ou par type de flux. Type de source : Source ouverte Autre source Source premium Type de flux : CSV Flux personnalisé JSON MISP RSS STIX HTTPs Texte
Rechercher dans le catalogue	Cette action permet de rechercher des flux en fonction du nom et de la description dans le catalogue.

Configurer une nouvelle source de données de flux Threat Intelligence

Pour configurer une nouvelle source de données de flux Threat Intelligence, procédez comme suit :

1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces.
2. Cliquez sur l’icône Intégrations .
3. Sélectionner Flux de Threat Intelligence > Tous les flux.
4. Cliquez sur Configurer une nouvelle source. Les différents types de flux s’affichent.

   

5. Sélectionnez le type de flux respectif. Par exemple, MISP.
6. Cliquez sur Sélectionner.
7. Renseignez les champs du formulaire.

   Tableau 2. Créer une source de données

   Champ	Description
   Nom	Saisissez un nom pour le flux.
   Description	Description du flux.
   Type de flux	Type de flux. Par exemple, MISP. Par défaut, cette valeur est affichée en fonction du type de flux que vous avez sélectionné dans le catalogue.
   Logo	Joindre le logo du flux source.
   Secteur	Sélectionnez la catégorie d’industrie (aérospatiale, agriculture, etc.) à laquelle la source de données de flux s’applique.
   Type de source	Sélectionnez le type de source dans la liste des types de sources disponibles. La liste des sources disponibles est la suivante : Gouvernement ISACs Source ouverte Source premium Autre source

   Renseignez les champs de la section Configuration comme il convient.

   Tableau 3. Configuration

   Champ	Description
   Période d'expiration (jours)	Saisissez la période d’expiration du flux en jours. Par exemple, 180 jours. Remarque : Quelles que soient les données ingérées à la source, elles expireront 180 jours après l’ingestion.
   Utiliser le message REST	Cochez la case Utiliser le message REST si vous devez utiliser la fonctionnalité de message REST/de méthode REST fournie par Now Platform. Si cette case n’est pas cochée, l’application utilise le point de terminaison fourni dans l’URL du point de terminaison REST pour extraire les données du flux. Pour plus d’informations, consultez Service Web REST sortant dans la Now Platform documentation. Remarque : Les champs Message REST et Méthode REST sont obligatoires lorsque vous sélectionnez le message REST.
   Message REST	Sélectionnez l’enregistrement du message REST dans la liste des enregistrements du message REST déjà configurés dans l’instance. Pour plus d’informations, consultez Service web REST sortant sur la documentation Now Platform. Remarque : Sélectionnez cette valeur lorsque vous devez afficher des en-têtes spécifiques et définissez les enregistrements connexes REST à l’aide de l’option de message REST.
   Méthode REST	Sélectionnez Méthode REST dans la liste des méthodes REST disponibles configurées pour le message REST sélectionné. Pour plus d’informations, consultez Service web REST sortant sur la documentation Now Platform.
   Fiabilité	Définissez la confiance pour tous les enregistrements applicables qui sont ingérés via ce flux spécifique. Remarque : Définissez la confiance entre 0 et 100 pour cette source.
   URL du point de terminaison REST	Entrez l’URL du point de terminaison REST où les données sont hébergées par la source de données.
   Authentification requise	Cochez cette case si l’authentification est requise pour votre nouvelle source de données. Remarque : Ajouter une déclaration mentionnant ce paramètre est uniquement applicable lorsque l’URL du point de terminaison REST est utilisée pour récupérer les données.
   Type d'authentification	Type d’authentification pour le flux source. Voici les types d’authentification configurés et mis en service dans le système de base pour les utilisateurs : ID API/Clé API ID API/secret API Clé API Clé API/Secret API Nom d’utilisateur API/Mot de passe API/Clé API Authentification de base Remarque : Les types d’authentification dans le système de base pour le type de flux source personnalisé sont ID client et Secret client.
   En-têtes à transmettre avec la demande	Tous les en-têtes à transmettre avec les demandes peuvent être fournis dans le mappage d’en-tête de demande. L’en-tête doit être fourni dans une paire clé-valeur séparée par deux-points (« : »). Chaque paire clé-valeur d’en-tête doit être fournie dans une nouvelle ligne. Pour fournir des paramètres d’authentification en tant que valeurs d’en-tête, encadrez l’étiquette d’authentification requise avec « ${ » et « }$ ». Par exemple, x-api-key :${API Key}$.
   Avancés	Cochez cette case pour définir un script d’intégration personnalisé et un script de processeur de rapport. Remarque : Lorsque vous cochez cette case, les champs Script d’intégration et Processeur de rapport s’affichent pour vous permettre de sélectionner les scripts personnalisés.
   Script d'intégration	Le script d’intégration appelle un appel à l’URL du point de terminaison REST à l’aide des paramètres d’authentification et des en-têtes configurés dans le flux, puis le script récupère les données disponibles à partir du flux spécifique. Dans le système de base, les includes de scripts personnalisés sont fournis dans l’application pour les scripts d’intégration : FeedDatasourceIntegrationBase MITRESourceIntegration RSSFeedDatasourceIntegration IntégrationSimpleFeedDatasourceIntegration SimpleMISPFeedDatasourceIntegration Le script d’intégration par défaut est basé sur le type de flux que vous sélectionnez. Par exemple, si vous sélectionnez le type de flux MISP, qui est un format standard pour traiter et extraire les données, le script d’intégrations est SimpleFeedDatasourceIntegration. Remarque : Pour les scripts d’intégration personnalisés, vous pouvez créer un include de script en étendant FeedDatasourceIntegrationBase et en remplaçant les méthodes requises.
   Script de processeur de rapport	Le script de processeur de rapports traite les données extraites du flux à l’aide du script d’intégration. Dans le système de base, les includes de scripts personnalisés sont fournis dans l’application pour les scripts d’intégration : FeedDatasourceResponseProcessor MITRECollectionDataProcessor RSSFeedDatasourceResponseProcessor SimpleFeedDatasourceResponseProcessor SimpleMISPFeedDatasourceResponseProcessor TAXIIV2CollectionDataProcessor Le processeur de rapports par défaut pour STIX HTTPS est TAXIIV2CollectionDataProcessor. Par défaut, cette option s’affiche et vous ne pouvez pas modifier ou sélectionner un autre processeur de rapport.

   Renseignez les champs de la section Planification, comme il convient.

   Tableau 4. Ordonnancement

   Champ	Description
   Exécuter	Définissez la fréquence à laquelle vous souhaitez ingérer les enregistrements. Le flux s’exécutera et s’exécutera en fonction de l’intervalle de tâche de planification. Les intervalles de tâches disponibles sont les suivants : Tous les jours Hebdomadaire Mensuel Périodiquement Une fois Sur demande Calendrier d'entreprise : début de l'entrée Calendrier d'entreprise : fin de l'entrée Remarque : Par défaut, la fréquence est définie sur Sur demande. Pour plus d’informations, consultez Travaux planifiés et comment exécuter automatiquement un script de votre choix.
   Extraire les données de	Date de début à partir de laquelle les données doivent être extraites. Ce champ doit être défini avec le délai à partir duquel les données doivent être ingérées à partir de la source correspondante. Une fois ce champ défini, l’exécution d’ingestion suivante extrait les données à partir de l’heure configurée et les exécutions d’ingestion consécutives extraient des données incrémentielles. Par exemple, la source est planifiée pour ingérer les données toutes les heures. L’utilisateur définit Extraire les données du 12 janvier à 6h00 le 12 janvier à 9h30. L’ingestion se déclenchant le 12 janvier à 10h00 permet d’extraire les données du 12 janvier à 6h00 au 12 janvier à 10h00. L’ingestion suivante qui se déclenche à 11h00 extrait uniquement les données incrémentielles du 12 janvier à 10h00 au 12 janvier à 11h00. Remarque : Cela signifie que les exécutions planifiées extrairont les données de façon incrémentielle à partir de la date spécifiée.

   Tableau 5. Balises

   Champ	Description
   Sélectionner des balises	Utilisez les balises pour annoter ou marquer à l’oreille les enregistrements qui sont ingérés dans le système à partir de cette source. Commencez à saisir le nom de la balise dans la barre de recherche pour choisir les balises disponibles dans l’application ou saisissez un nouveau nom de balise et cliquez sur Ajouter pour l’affecter à la source.

8. Cliquez sur l’action Enregistrer pour stocker et créer le flux.

   Les détails fournis sont validés et, par défaut, l’état des flux est désactivé.

9. (Facultatif) Cliquez sur l’action Enregistrer comme brouillon pour stocker uniquement les configurations de flux comme brouillon. Les utilisateurs ne peuvent pas activer un flux lorsqu’il est enregistré en mode brouillon.

   Si vous n’êtes pas sûr des détails de la configuration, vous pouvez utiliser l’option Enregistrer comme brouillon . Une fois que vous avez obtenu les détails de la configuration, vous pouvez renseigner les informations restantes dans la version brouillon et la créer.

10. Pour activer le flux, cliquez sur Activer.
    Le flux est activé. Vous pouvez également activer, désactiver ou supprimer un flux particulier à l’aide du menu Actions de la vignette du flux requis sur la page Catalogue ou Flux de Renseignements sur les menaces .

    Remarque :

    Si la fréquence d’exécution est définie sur Sur demande dans la section Planification de la page du formulaire de source de données, chaque fois que vous activez l’intégration, un message s’affiche pour alerter les utilisateurs qu’ils ont désormais activé la source. Vous devez modifier la fréquence d'exécution pour activer la configuration source et ingérer automatiquement les données.
11. Cliquez sur Activer pour activer l’enregistrement.
    Une fois l’enregistrement de source de données de flux activé, vous pouvez l’exécuter pour exécuter l’intégration.

    Remarque :

    L’enregistrement de source de données est étiqueté et indiqué comme activé. De même, vous pouvez désactiver le flux de source de données en cliquant sur le bouton Désactiver .
12. Cliquez sur Supprimer pour supprimer l’enregistrement source des données du flux.
13. Sélectionnez la section Exécution des intégrations pour vérifier les détails de l’exécution.

Types de flux de Renseignements sur les menaces

Pour connaître les étapes suivantes de la procédure, reportez-vous à la section correspondante pour la configuration de chaque type de flux spécifique. Flux Threat Intelligence.