Configurer un nouveau flux TAXII

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 6 minutes de lecture

    • Vous pouvez gérer les flux TAXII pour le partage d’informations au format STIX. Chaque flux TAXII contient une ou plusieurs collections TAXII.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    2. Cliquez sur l’icône Intégrations .
    3. Sélectionner Flux de Threat Intelligence > STIX TAXII > Flux TAXII.
      Remarque :
      Configurez le flux TAXII pour qu’il serve de profil pour toutes les collectes TAXII qu’il contient.
    4. Cliquez sur Configurer une nouvelle source.
      La page Configurer un nouveau flux TAXII s’affiche.
    5. Remplissez les champs du formulaire.
      Tableau 1. Créer une source de données
      Champ Description
      Nom Saisissez un nom pour le flux.
      Description Description du flux.
      Type de source Type de source (source ouverte, source premium, etc.) fourni pour le flux. Les types de source disponibles sont les suivants :
      • Gouvernement
      • ISACs
      • Open source
      • Source premium
      • Autre source
      Logo Joignez le logo du flux source.
      Secteur Sélectionnez la catégorie industrielle (aérospatiale, agriculture, etc.) à laquelle la source de données de flux s’applique.

      Renseignez les champs de la section Configuration comme il convient.

      Tableau 2. Détails de la configuration
      Champ Description
      Version TAXII Sélectionnez la version TAXII du serveur TAXII à configurer. Les versions prises en charge sont 2.0 et 2.1.
      Type de configuration Fournissez un type de configuration pour extraire les collections TAXII. Les valeurs disponibles sont les suivantes :
      • URL du service Découverte : choisissez l’URL du service Découverte pour extraire les collections de toutes les racines d’API disponibles dans le service de découverte du serveur TAXII.
      • URL racine de l’API : choisissez l’URL racine de l’API pour extraire les collections à partir de la racine d’API spécifique du serveur TAXII.
      Authentification Sélectionnez l’option requise dans la liste déroulante si l’authentification est requise. Les options disponibles sont les suivantes :
      • Aucune : sélectionnez cette option si aucune authentification n’est requise.
      • De base : sélectionnez cette option pour fournir un nom d’utilisateur et un mot de passe.
      • Clé API : sélectionnez cette option pour fournir une clé API.
      • Choisir un message REST : sélectionnez cette option pour tout autre type d’authentification. Les options du message REST sont les suivantes :
        • Utiliser le message REST : cochez cette case si vous avez besoin d’un message REST pour créer un message REST prédéfini. Si vous ne sélectionnez pas cette option, la valeur dans le champ de point de terminaison sera utilisée. Cliquez sur l’icône de recherche, puis sélectionnez le message REST dans la liste.
        • Méthode REST : cochez cette case si vous avez besoin d’une méthode REST. Cliquez sur l’icône de recherche, puis sélectionnez la méthode REST dans la liste.
      Remarque :
      Les champs Message REST et Méthode REST deviennent disponibles lorsque l’option Message REST est sélectionnée.
      URL Entrez l’URL du service de découverte du serveur TAXII ou l’URL racine de l’API spécifique en fonction du type de configuration sélectionné.
      Avancé
      Avancée Cochez la case pour choisir un script d’intégration et un processeur de rapport différents. Assurez-vous que les scripts choisis sont compatibles avec la version TAXII sélectionnée. En fonction de la version et de l’authentification TAXII, ces scripts sont renseignés automatiquement par défaut.
      Script d'intégration Appelle un appel à l’API d’URL du point de terminaison REST à l’aide des paramètres d’authentification tels que le type d’authentification : nom d’utilisateur/mot de passe/clé API et les en-têtes à transmettre avec la demande, puis le script récupère les observables ou les données STIX d’indicateurs disponibles pour le flux spécifique.
      Remarque :
      Les données récupérées sont uniquement les données brutes (aucun enregistrement créé) qui seront jointes au processus d’intégration et pourront ensuite être visualisées dans la section Exécution de l’intégration .
      Le système de base comprend les includes de scripts personnalisés, qui sont mis en service dans l’application pour les scripts d’intégration :
      • TAXIIV2_0QueryParamAPIKeyIntegrationScript
      • TAXIIV2_0BasicAuthIntegrationScript
      • TAXIIV2_1QueryParamAPIKeyIntegrationScript
      • TAXIIV2_1BasicAuthIntegrationScript
      Le script d’intégration par défaut est basé sur le type de flux que vous sélectionnez. L’include de script exécute un appel REST simple, enregistre la réponse sous forme de pièce jointe, puis renvoie la pièce jointe au processeur.
      Script de processeur de rapport Le processeur de rapports appelle l’URL du point de terminaison REST.

      Dans le système de base ci-dessous se trouve les includes de scripts personnalisés, qui sont fournis dans l’application pour les scripts d’intégration, TAXIIV2CollectionDataProcessor.
      Tableau 3. Paramètres
      Champ Description
      Période d'expiration (jours) Définit le nombre de jours après l’expiration des enregistrements de collections reçus du TAXII serveur.
      Fréquence d'exécution des collectes Définissez la fréquence à laquelle vous souhaitez extraire les enregistrements à partir du TAXII serveur. Le flux TAXII s’exécute et s’exécute en fonction de l’intervalle de travail de planification. Les intervalles de tâches disponibles sont les suivants :
      • Tous les jours
      • Hebdomadaire
      • Mensuel
      • Périodiquement
      • Une fois
      • Sur demande
      • Calendrier d'entreprise : début de l'entrée
      • Calendrier d'entreprise : fin de l'entrée
      Remarque : Par défaut, la fréquence est définie sur Sur demande. Pour plus d’informations, consultez Travaux planifiés et comment exécuter automatiquement un script de votre choix.
      Remplacer l'expiration source Lorsque cette option est activée, le délai d’expiration de l’enregistrement du flux ou des collections reçu est remplacé pour correspondre à la configuration du profil.
      Fiabilité Cela indique le niveau de confiance par défaut affecté aux flux ou collections TAXII reçus à partir de ce profil lorsque la source ne spécifie pas de valeur de confiance.
      Remplacer la fiabilité de la source Lorsque cette option est activée, la valeur de confiance de l’enregistrement du flux ou des collections reçu est remplacée pour correspondre à la configuration du profil.

      Renseignez les champs de la section Planification comme il convient.

      Tableau 4. Ordonnancement
      Champ Description
      Fréquence d'exécution des collectes Intervalle de planification qui sera appliqué aux enregistrements de collecte TAXII. La fréquence d’exécution d’une collecte TAXII peut être modifiée dans la vue de formulaire de collecte TAXII, si nécessaire.
      Remarque :
      Ce paramètre est appliqué par défaut à toutes les collectes TAXII qui sont récupérées. Il existe une option permettant de remplacer le paramètre dans les collections TAXII, si nécessaire.
      Pour plus d’informations, consultez Travaux planifiés et comment exécuter automatiquement un script de votre choix.
      Extraire les données de Date de début à partir de laquelle les données doivent être extraites. Ce champ doit être défini avec le temps à partir duquel les données doivent être ingérées à partir de la source correspondante. Une fois ce champ défini, l’exécution d’ingestion suivante extrait les données de l’heure configurée et les exécutions d’ingestion consécutives extraient les données incrémentielles.

      Par exemple, la source est planifiée pour ingérer les données toutes les heures. L’utilisateur définit Extraire les données du 12 janvier à 6 h 00 le 12 janvier à 9 h 30, le déclenchement de l’ingestion le 12 janvier à 10 h 00 permet de récupérer les données du 12 janvier à 6 h 00 au 12 janvier à 10 h 00. L’ingestion suivante qui se déclenche à 11h00 extrait uniquement les données incrémentielles du 12 janvier à 10h00 au 12 janvier à 11h00.

      Remarque :
      Cela signifie que les exécutions planifiées extrairont les données de façon incrémentielle à partir de la date spécifiée.
    6. Cliquez sur Valider la connexion
      Un message d’information s’affiche indiquant que la connexion du flux TAXII a réussi. Pour extraire les collections, passez à l’étape suivante.
    7. Cliquez sur Obtenir les collections TAXII.
      Remarque :
      En cas d’erreurs, un message d’erreur s’affiche indiquant qu’une erreur s’est produite lors de l’extraction des collectes TAXII et vérifiez les journaux pour plus de détails.

      Les collections TAXII sont affichées dans la section Collections TAXII et sont désactivées par défaut.

    8. Activez les collections TAXII pour récupérer les objets STIX disponibles dans ces collections TAXII.