TAXII ベースの共有

TAXII ベースの共有により、TISC インスタンス間で構造化され標準化された脅威インテリジェンスの交換が可能になります。このモデルでは、ソースインスタンスは TAXII 収集を通じてインテリジェンスを公開し、ターゲットインスタンスは構成された TAXII フィードを使用してそのデータを取得します。

ソース TISC インスタンスの構成

ターゲットインスタンスを構成する前に、ソース TISC インスタンスで次の手順を完了します。

1. グローバル共有ルールを構成します。

   要件に基づいて以下が構成され、公開されていることを確認します。

   • 送信インテリジェンスデータ除外ルール
   • 送信インテリジェンス共有コントロール

2. TAXII 収集の作成:ソース TISC インスタンスで必要な TAXII 収集を設定します。手順については、「 TAXII 収集の作成」を参照してください。

3. 送信インテリジェンス共有テンプレートの作成:TAXII 共有に必要な構成を含む送信インテリジェンス共有テンプレートを作成して公開します。手順については、「 送信インテリジェンス共有テンプレート」を参照してください。
4. TAXII 収集へのレコードの追加:次のいずれかの方法でレコードを追加できます。
   • グラフィカルユーザーインターフェイス (GUI) を介したアドホック追加。詳細については、「 TAXII 収集にレコードを追加する」を参照してください。
   • フローを使用した自動追加。詳細については、「 TAXII 収集への共有を自動化する」を参照してください。
5. ターゲット TISC インスタンスの TAXII API ユーザーを作成する:ターゲットインスタンスがインテリジェンスデータをフェッチするために接続するときの認証のために、ソース TISC インスタンスに専用の API ユーザーを作成します。

   ロール sn_sec_tisc.taxii_server_api_user をアサインします。

ターゲット TISC インスタンスの構成

ソース構成が完了したら、ソースからインテリジェンスを取得するようにターゲットインスタンスを設定します。

1. 新しい TAXII フィードの作成:ターゲット TISC インスタンスで、新しい TAXII フィードを作成します。詳細については、「 新しい TAXII フィードを構成する」を参照してください。
2. ディスカバリーサービスの構成: [構成タイプ ] を [ディスカバリーサービス URL] に設定し、次の URL を入力します。

   https://{instance_name}/api/sn_sec_tisc/taxii_server/taxii2

3. 認証の設定:
   • 認証方法として [基本 ] を選択します。
   • ソースインスタンスで作成された TAXII API ユーザーのユーザー名とパスワードを入力します。
4. 構成を保存します。

   接続を検証し、[ TAXII 収集を取得] ボタンをクリックして、有効な TAXII 収集をソースインスタンスから取得します。

5. 取り込みを有効にして構成します。
   1. 取り込むコレクションに移動します。
   2. コレクションを有効にします。
   3. フェ ッチ開始時間 と希望する取り込み頻度を指定します。

   指定された時間の後にソースインスタンスのコレクションに追加されたすべてのレコードは、構成されたスケジュールに従ってターゲットインスタンスにプルされます。