TAXII Feedsの設定

登録するTAXII Feedsを追加または編集できます。

  1. 脅威インテリジェンス > サードパーティインテリジェンス > TAXIIフィードに移動します。

    TAXIIフィード 画面が表示されます。

  2. TAXII Feedsを追加または編集します。
    • フィードを追加するには、[ 追加するの追加]をクリックします。

    • フィードを編集するには、フィード名をクリックします。

  3. [ 一般 ]セクションで、次の設定を行います。
    1. このフィードのTAXIIサーバのバージョンを選択してください。
      注:

      TAXII 2.0および2.1がサポートされています。フィードを追加した後にTAXIIサーバのバージョンを変更することはできません。

    2. このTAXII Feedsの検出URLを入力してください。
    3. (オプション)サーバーが使用する場合は[ Use CA Certificate ]を選択し、[ 選択済み ]をクリックしてCA証明書ファイルを見つけます。
    4. (オプション)サーバで必要な場合は、[認証認証情報を指定]を選択し、認証に使用するユーザ名とパスワードを入力します。
    5. (オプション)サーバで必要な場合は、[ サーバにはクライアント認証 が必要]を選択し、[ 選択済み の選択]をクリックして、クライアント証明書ファイルを指定します。
    6. (オプション)クライアント証明書のパスフレーズを入力します。
  4. コレクション セクションで、次の設定を完了します。
    1. [ Discover ]をクリックして、使用可能な1つ以上のコレクションを検索して選択します。
    2. 選択した収集ごとに、トグルをクリックして 抽出を有効または無効にし、不審オブジェクトをブロック オプションを選択します。

      このオプションを有効にすると、次の種類のインジケータがコレクションから抽出され、不審オブジェクトリストに追加されます。

      • ドメイン

      • ファイルSHA-1

      • ファイルSHA-256

      • IPアドレス

      • 送信者アドレス

      • URL

      初期設定では、これらの不審オブジェクトは30日で有効期限が終了する高リスクオブジェクトと見なされます。接続された製品は、次の同期時に Trend Micro Vision One から新しいオブジェクト情報を受信し、それらのオブジェクトを検出した後に "ブロック/" 隔離処理を実行します。

      注:

      のみ"インジケータ"としてラベル付けされていないオブジェクトを入力する"異常なアクティビティ""匿名化""無害""感染"、または"不明"、および取り消されていないオブジェクトは不審オブジェクトリストに追加されます。

    3. 選択した収集ごとに、トグルをクリックして、 [自動スイーピング を実行]オプションを有効または無効にします。

      このオプションを有効にすると、サブスクリプションの成功直後に実行される1回限りの自動スイーピングタスクが開始され、現在のコレクションから抽出されたインジケータの履歴データが検索されます。

  5. ポーリング基準 セクションで、次の設定を完了します。
    1. TAXII Feedsの情報をポーリングする頻度を選択します。
    2. 情報のポーリングを開始する期間を選択します。
  6. [ 保存]をクリックします。

    TAXII Feedsは TAXII Feeds 画面に表示され、カスタムインテリジェンスレポートを生成するために処理されます。フィードサブスクリプションから生成されたレポートをさらに確認するには、 脅威インテリジェンス > Intelligence Reports に移動し、[ カスタム ]タブをクリックします。