TAXIIフィードの統合

手順

1. Workflow and Automation → Third-Party Integration
2. [統合] 列で、 TAXII Feedsをクリックします。
   TAXII Feeds 画面が表示されます。
3. TAXIIフィードを追加または編集します。
   • フィードを追加するには、 [追加]をクリックします。
   • フィードを編集するには、フィード名をクリックします。
4. で一般セクションで、次の設定を行います。
   1. このフィードのTAXIIサーバのバージョンを選択します。

      注意 TAXII 2.0および2.1がサポートされます。フィードの追加後にTAXIIサーバのバージョンを変更することはできません。

   2. このTAXIIフィードの検出URLを入力します。
   3. (オプション) サーバが [CA証明書を使用] を使用している場合は選択し、 [選択] をクリックしてCA証明書ファイルを検索します。
   4. (オプション) サーバで必要な場合は [認証情報を指定してください] を選択し、認証に使用するユーザ名とパスワードを入力します。
   5. (オプション) サーバで必要な場合は [サーバでクライアント認証を要求] を選択し、 [選択] をクリックしてクライアント証明書ファイルを検索します。
   6. (オプション) クライアント証明書のパスフレーズを入力します。
5. でコレクションセクションで、次の設定を行います。
   1. [ディスカバー] をクリックして、使用可能なコレクションを1つ以上検索して選択します。
   2. 選択したコレクションごとに、トグルをクリックして有効または無効にします。不審オブジェクトの抽出とブロックオプション。
      このオプションを有効にする場合は、をクリックして、次の不審オブジェクトの種類を1つ以上選択し、TAXIIフィードコレクションから抽出し、不審オブジェクトリストに追加します。

      • ドメイン
      • ファイルSHA-1
      • ファイルSHA-256
      • IPアドレス
      • 送信者アドレス
      • URL

      初期設定では、これらの不審オブジェクトは高リスクオブジェクトと見なされ、有効期限は30日です。接続された製品は、次回の同期時に Trend Vision One から新しいオブジェクト情報を受信し、それらのオブジェクトを検出すると [ブロック/隔離] 処理を実行します。

      注意 [異常アクティビティ]、 [匿名化]、 [良性]、 [侵害された]、または [不明]のラベルが付けられておらず、取り消されていない [痕跡] タイプのSTIXオブジェクトのみが、不審オブジェクトリストに追加されます。

   3. 選択したコレクションごとに、トグルをクリックして [自動スイープを実行] オプションを有効または無効にします。
      このオプションを有効にすると、サブスクリプションが成功した直後に実行される1回限りのスイープタスクが開始され、現在のコレクションから抽出されたインジケータの履歴データが検索されます。スイープでは、「レポート」タイプのSTIXオブジェクトのみがサポートされます。
6. [ポーリング条件] セクションで、次の設定を行います。
   1. TAXIIフィードで情報をポーリングする頻度を選択します。
   2. ポーリング時に過去の情報を取得するためにさかのぼる期間を選択します。
7. [保存] をクリックします。
   TAXIIフィードは [TAXIIフィード] 画面に表示され、カスタムインテリジェンスレポートを作成するために処理されます。フィード登録から生成されたレポートをさらに確認するには、Threat Intelligence → Intelligence Reports [をクリックし、] [カスタム] タブ。