新しい TAXII フィードを構成する

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:6分

    • STIX 形式の情報を共有するために TAXII フィードを管理できます。各 TAXII フィードには、1 つ以上の TAXII コレクションが含まれています。

    始める前に

    必要なロール:sn_sec_tisc.admin

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. [統合] アイコンを選択します。
    3. 選択 脅威インテルフィード > STIX TAXII > TAXII フィード.
      注:
      フィード TAXII すべての TAXII コレクションのプロファイルとして機能するようにフィードを構成します。
    4. [ 新しいソースの構成] を選択します。
      [新しい TAXII フィードを構成 (Configure new Feed)] ページが表示されます。
    5. フォームのフィールドに入力します。
      表 : 1. データソースを作成
      フィールド 説明
      名前 フィードの名前。
      説明 フィードの説明。
      ソースタイプ フィードに提供されるソースのタイプ。利用可能なソースタイプは、次のとおりです。
      • 政府
      • ISAC
      • オープンソース
      • プレミアムソース
      • その他のソース
      ロゴ ソースフィードのロゴ。
      業界 フィードデータソースが適用可能な業界カテゴリ。

      必要に応じて、[構成] セクションのフィールドに入力します。

      表 : 2. 構成
      フィールド 説明
      TAXII バージョン 構成する TAXII サーバーの TAXII バージョン。サポートされているバージョンは 2.0 と 2.1 です。
      構成タイプ TAXII 収集をフェッチする構成タイプ。使用可能な値:
      • ディスカバリーサービス URL:ディスカバリーサービス URL を選択して、TAXII サーバーのディスカバリーサービスで使用可能なすべての API ルートからコレクションをフェッチします。
      • API ルート URL:API ルート URL を選択して、TAXII サーバーの特定の API ルートからコレクションをフェッチします。
      認証 認証が必要な場合のリストの必須オプション。使用可能なオプションは、次のとおりです。
      • なし:認証が不要な場合は、このオプションを選択します。
      • 基本:ユーザー名とパスワードを指定するには、このオプションを選択します。
      • API キー:API キーを指定するには、このオプションを選択します。
      • REST メッセージを選択:その他のタイプの認証には、このオプションを選択します。REST メッセージのオプションは次のとおりです。
        • REST メッセージを使用:ビルド済み REST メッセージを作成するために REST メッセージが必要な場合は、このチェックボックスをオンにします。このチェックボックスをオフにすると、[エンドポイント] フィールドの値が使用されます。ルックアップアイコンを選択し、リストから REST メッセージを選択します。
        • REST メソッド:REST メソッドが必要な場合は、このチェックボックスをオンにします。ルックアップアイコンを選択し、リストから REST メソッドを選択します。
      注:
      [REST メッセージ] オプションが選択されている場合、[REST メッセージ] フィールドと [REST メソッド] フィールドは使用可能に設定されます。
      URL 選択した構成タイプに基づく TAXII サーバーディスカバリーサービス URL または特定の API ルート URL。
      [詳細設定] セクション
      詳細 別の統合スクリプトとレポートプロセッサを選択するためのチェックボックス。選択したスクリプトが選択した TAXII バージョンと互換性があることを確認します。デフォルトでは、TAXII バージョンと認証に応じてこれらのスクリプトが 自動入力されます。
      統合スクリプト 認証パラメーターを使用して REST エンドポイント URL API の呼び出しを呼び出します。このスクリプトは、特定のフィードで利用可能な観測事象またはインジケーターの STIX データをフェッチします。
      注:
      フェッチされるデータは生データのみで、レコードは作成されません。データは統合プロセスに添付され、[ 統合実行] セクションで表示できます。
      ベースシステムには、統合スクリプト用にアプリケーション内でプロビジョニングされたカスタムスクリプトインクルードが含まれています。
      • TAXIIV2_0QueryParamAPIKeyIntegrationScript
      • TAXIIV2_0BasicAuthIntegrationScript
      • TAXIIV2_1QueryParamAPIKeyIntegrationScript
      • TAXIIV2_1BasicAuthIntegrationScript
      デフォルトの統合スクリプトは、選択したフィードタイプに基づいています。このスクリプトインクルードは、単純な REST 呼び出しを実行し、応答を添付ファイルとして保存して、添付ファイルをプロセッサーに返します。
      プロセッサをレポート レポートプロセッサは、REST エンドポイント URL の呼び出しを起動します。

      ベースシステムには、統合スクリプト用にアプリケーション内でプロビジョニングされるカスタムスクリプトインクルード TAXIIV2CollectionDataProcessor が含まれています。

      必要に応じて、[スケジュール] セクションのフィールドに入力します。

      表 : 3. スケジューリング
      フィールド 説明
      コレクションの実行頻度 TAXII収集レコードに適用されるスケジュール間隔。TAXIIコレクションの実行頻度は、必要に応じて TAXII コレクションフォームビューで変更できます。
      注:
      この設定は、フェッチしたすべての TAXII コレクションにデフォルトで適用されます。必要に応じて、TAXII 収集の設定を上書きすることができます (オプション)。TAXII
      詳細については、「スケジュール済みジョブ」および「選択したスクリプトを自動的に実行する方法」を参照してください。
      データのフェッチ元 データをフェッチする必要がある開始日。このフィールドには、対応するソースからデータを取り込む必要がある時刻を設定します。このフィールドを設定すると、次の取り込み実行では設定された時間にデータがフェッチされ、連続して実行されると増分データがフェッチされます。

      たとえば、ソースが 1 時間ごとにデータを取り込むようにスケジュールされているとします。[ データのフェッチ開始日 (Fetch Data From )] から 1 月 12 日午前 6 時 00 分までを 1 月 12 日午前 9 時 30 分に設定した場合、1 月 12 日午前 10 時から 1 月 12 日午前 6 時から 1 月 12 日午前 10 時までのデータがフェッチされます。次の取り込みの午前 11:00 では、1 月 12 日午前 10 時から 1 月 12 日午前 11 時までの増分データのみがフェッチされます。

      注:
      つまり、スケジュールされた実行では、指定された日時以降にデータが追加的にフェッチされることになります。
    6. [接続を検証] を選択します
      TAXII フィード接続に成功したことを示す情報メッセージが表示されます。コレクションをフェッチするには、次のステップに進みます。
    7. [TAXII 収集を取得] を選択します。
      注:
      エラーがある場合は、 TAXII コレクションのフェッチ中にエラーが発生したことを示すエラーメッセージが表示されるので、詳細についてはログを確認してください。

      TAXIIコレクションは [TAXIIコレクション] セクションの下に表示され、デフォルトでは非アクティブになっています。

    8. これらのTAXIIコレクションで利用可能な STIX オブジェクトを取得するには、TAXIIコレクションを有効にします。