Ansichten:

Sie können einen TAXII-Feed hinzufügen oder bearbeiten, den Sie abonnieren möchten.

Prozedur

  1. Navigieren Sie zu Threat IntelligenceThird-Party IntelligenceTAXII Feeds.
    Das Fenster Einstellungen zur Fehlerbehebung wird angezeigt.
  2. Einen TAXII-Feed hinzufügen oder bearbeiten.
    • Zum Hinzufügen eines Feeds klicken Sie auf Hinzufügen.
    • Um einen Feed zu bearbeiten, klicken Sie auf den Feed-Namen.
  3. Geben Sie im Abschnitt Allgemein die folgenden Einstellungen ein:
    1. Wählen Sie die TAXII-Serverversion für diesen Feed aus.
      Hinweis
      Hinweis
      TAXII 2.0 und 2.1 werden unterstützt. Die Version des TAXII-Servers kann nicht geändert werden, sobald der Feed hinzugefügt wurde.
    2. Geben Sie die Discovery-Uniform-Resource-Locator (URL) für diesen TAXII-Feed ein.
    3. Wählen Sie Use CA certificate, wenn der Server es verwendet, und klicken Sie dann auf Auswählen, um die CA-Zertifikatdatei zu finden.
    4. Wählen Sie Anmeldedaten für Authentifizierung angeben, wenn der Server dies erfordert, und geben Sie dann den Benutzernamen und das Passwort für die Authentifizierung ein.
    5. Wählen Sie Server requires client authentication, wenn der Server dies erfordert, und klicken Sie dann auf Auswählen, um die Client-Zertifikatdatei zu finden.
    6. Geben Sie die Passphrase des Client-Zertifikats ein.
  4. Geben Sie im Abschnitt Collections die folgenden Einstellungen ein:
    1. Klicken Sie auf Discover, um eine oder mehrere verfügbare Sammlungen zu finden und auszuwählen.
    2. Für jede ausgewählte Sammlung klicken Sie auf den Schalter, um die Extract and block suspicious objects-Option zu aktivieren oder zu deaktivieren.
      Für eine aktivierte Option klicken Sie auf edit_icon=e867c8bf-3c64-4b15-95f5-bf7a76d585ef.png und wählen Sie einen oder mehrere der folgenden verdächtigen Objekttypen aus, die aus den TAXII-Feed-Sammlungen extrahiert und zur Liste der verdächtigen Objekte hinzugefügt werden sollen:
      • Domäne
      • SHA-1-Datei
      • SHA-256-Datei
      • IP-Adresse
      • Absenderadresse
      • URL
      Standardmäßig fügt Trend Vision One Threat Intelligence nur STIX-Indikatorobjekte hinzu, die nicht widerrufen wurden und eines der folgenden Labels aufweisen, zur Liste der Verdächtigen Objekte hinzu:
      • anomalie-aktivität
      • Anonymisierung
      • Zuschreibung
      • harmlos
      • kompromittiert
      • bösartige Aktivität
      • unknown
      Um eingeschlossene Labels anzugeben, gehen Sie zu Threat IntelligenceVerwaltung der verdächtigen ObjekteDefault settings
    3. Für jede ausgewählte Sammlung klicken Sie auf den Schalter, um die Run an auto sweep-Option zu aktivieren oder zu deaktivieren.
      Wenn Sie diese Option aktivieren, wird eine einmalige Durchsuchungsaufgabe gestartet, die unmittelbar nach erfolgreicher Abonnierung ausgeführt wird, um Ihre historischen Daten nach Indikatoren zu durchsuchen, die aus der aktuellen Sammlung extrahiert wurden. Nur STIX-Objekte vom Typ "Bericht" werden für die Durchsuchung unterstützt.
  5. Geben Sie im Abschnitt Polling criteria die folgenden Einstellungen ein:
    1. Wählen Sie die Häufigkeit aus, mit der der TAXII-Feed nach Informationen abgefragt wird.
    2. Wählen Sie, wie weit in der Vergangenheit Sie mit der Abfrage von Informationen beginnen möchten.
  6. Klicken Sie auf Save.
    Der TAXII-Feed erscheint in TAXII Feeds zur Verwendung in benutzerdefinierten Intelligence Reports. Um die Berichte zu überprüfen, die aus Ihren Feed-Abonnements generiert wurden, gehen Sie zu Threat IntelligenceIntelligence Reports und klicken Sie auf die Registerkarte Benutzerdefiniert.