您可以新增或編輯您想訂閱的TAXII源。
步驟
- 前往。
- 在Integration欄中,點選TAXII Feeds。TAXII Feeds畫面出現。
- 新增或編輯 TAXII 資訊來源。
-
要新增訂閱源,請點選新增。
-
要編輯訂閱源,點選訂閱源名稱。
-
- 在General部分,完成以下設定:
- 選擇此饋送的TAXII伺服器版本。
注意
支援 TAXII 2.0 和 2.1。新增饋送後,無法修改 TAXII 伺服器版本。 - 輸入此 TAXII 資料源的發現 URL。
- (可選)如果伺服器使用它,請選擇Use CA certificate,然後點選Select來定位 CA 憑證檔案。
- (可選)如果伺服器需要,請選擇Specify authentication credentials,然後輸入用於驗證的使用者名稱和密碼。
- (選填)如果伺服器需要,請選擇Server requires client authentication,然後點選Select來定位用戶端憑證檔案。
- (可選)輸入用戶端憑證密碼。
- 選擇此饋送的TAXII伺服器版本。
- 在Collections部分,完成以下設定:
- 點選Discover以查找並選擇一個或多個可用的集合。
- 對於每個選定的集合,點選切換以啟用或關閉Extract and block suspicious objects選項。如果您啟用此選項,點選
並選擇以下一種或多種可疑物件類型,從TAXII資料集提取並添加到可疑物件清單:-
網域
-
檔案 SHA-1
-
檔案 SHA-256
-
IP 位址
-
寄件者地址
-
URL
預設情況下,這些可疑物件被視為高風險物件,並在30天後過期。連接的產品會在下一次同步期間從Trend Vision One接收新的物件資訊,並在檢測到這些物件後採取封鎖/隔離
行動。注意
只有未標記為異常活動
、匿名化
、良性
、受損
或未知
,且未被撤銷的指標
類型STIX物件,才會被添加到可疑物件清單中。 -
- 對於每個選定的集合,點選切換以啟用或關閉Run an auto sweep選項。啟用此選項會在成功訂閱後立即啟動一次性掃描任務,以搜尋您歷史資料中從當前集合中提取的任何指標。僅支援「報告」類型的STIX物件進行掃描。
- 在Polling criteria部分,完成以下設定:
- 選擇查詢TAXII信息源的頻率。
- 選擇您希望開始輪詢資訊的過去時間範圍。
- 按一下「儲存」。TAXII 資訊來源顯示在 TAXII Feeds 畫面上,並將被處理以產生自訂情報報告。若要進一步檢查從您的資訊來源訂閱所生成的報告,請前往 並點選 Custom 標籤。