手動および自動 共有 using flows
このセクションでは、 GUI による手動共有 および TISC インスタンス間での自動インテリジェンス共有を構成する方法について説明します。ソースインスタンスとターゲットインスタンスの両方での受信および送信インテリジェンスプロファイルのセットアップ、必要なロール、認証構成、および除外ルールの概要を示します。
ターゲット TISC インスタンスの構成
必要なロール:sn_sec_tisc.admin
前提条件: 開始する前に、適切なロールが割り当てられていることを確認してください。
ロール要件
| ステップ | アクション | 必要なロール |
|---|---|---|
| API 取り込みユーザーを作成 | 専用ユーザーを作成し、必要なロールをアサインする | admin (システムアドミニストレーター) |
| TISC 設定の構成と管理 | 残りの構成手順を実行 | sn_sec_tisc.admin |
| API を介したポストインテリジェンス | インテリジェンスデータの認証と送信 | sn_sec_tisc.api_post_intel (統合ユーザーにアサイン済み) |
sn_sec_tisc.api_post_intelロールを持つユーザーを作成します。ターゲットTISCインスタンスに専用ユーザーを作成し、
sn_sec_tisc.api_post_intelロール割り当てます。この専用ユーザーは、インスタンスに送信された受信インテリジェンスデータを認証するために使用されます。- 受信インテリジェンスプロファイルの設定:
- 移動先 .
- [ 受信インテリジェンス共有プロファイル (Inbound Intel Sharing Profiles)] を選択します。
- 新しいプロファイルを作成します。詳細については、「受信インテリジェンス共有プロファイルの構成」を参照してください。
- [ 認証のユーザー ] フィールドで、前のステップで作成したユーザーを選択します。
- [データ形式] を STIX 2.1 に設定します。
- ターゲット TISC インスタンスがインテリジェンスを受信できるようにするには、プロファイルを保存して有効にします。
- [プロファイル ID のコピー] を選択してプロファイル ID をコピーします。注:ソース TISC インスタンスで送信インテリジェンスプロファイルを構成するときに、プロファイル ID が必要です。詳細については、「受信インテリジェンス共有プロファイルの構成」を参照してください。
ソース TISC インスタンスの構成
- グローバル共有ルールを構成します。要件に基づいて以下が構成され、公開されていることを確認します。
- 送信インテリジェンスデータ除外ルール。詳細な手順については、「 送信インテリジェンスデータ除外ルールの設定」を参照してください。
- 送信インテリジェンス共有コントロール。詳細な手順については、「 送信インテリジェンス共有コントロールの設定」を参照してください。
- 送信インテリジェンスプロファイルを作成します。
- データ共有プロセスを管理するための新しい送信プロファイルを作成します。詳細については、「送信インテリジェンス共有プロファイルの構成」を参照してください。
- API エンドポイント URL を次のように指定します。
.https://{instance name} /api/sn_sec_tisc/v1/tisc_intel_sharing_api/post_intel - [ 必要な認証 ] を true に設定します。
- ユーザー名とパスワードに、ターゲット TISC インスタンスで作成されたユーザーの認証情報を入力します (ターゲットセットアップの最初の手順を参照)。
- 要求ヘッダーの構成: [要求とともに渡されるヘッダー] フィールドに、以下を含めます。
Profile-GUID: {Profile ID from the target TISC instance}Shared-Intel-Format: STIX 2.1 - プロファイル ID の取得: ヘッダーに必要なプロファイル ID は、ターゲット TISC インスタンスの受信インテリジェンスプロファイルにあります。[ プロファイル ID のコピー ] ボタンを使用して取得します。詳細については、「受信インテリジェンス共有プロファイルの構成」を参照してください。
- 送信プロファイルを保存して有効にします。
構成後:
- プロファイルを保存します。
- 接続を検証して、正しく機能していることを確認します。
- プロファイルを有効にして、インテリジェンスデータ共有をアクティブ化します。