您可以新增或編輯您想要訂閱的TAXII feed。
步驟
- 前往。
- 在Integration欄中,點選TAXII Feeds。
- 新增或編輯 TAXII 資訊來源。
-
要新增訂閱源,請點選新增。
-
要編輯訂閱源,點選訂閱源名稱。
-
- 在General部分,完成以下設定:
- 選擇此饋送的TAXII伺服器版本。
注意
支援 TAXII 2.0 和 2.1。新增饋送後,無法修改 TAXII 伺服器版本。 - 輸入此 TAXII feed 的發現統一資源定位器 (URL)。
- 如果伺服器使用它,請選擇Use CA certificate,然後點擊Select以定位 CA 憑證檔案。
- 如果伺服器需要,請選擇Specify authentication credentials,然後輸入用於驗證的使用者名稱和密碼。
- 如果伺服器需要,請選擇Server requires client authentication,然後點擊Select以定位用戶端憑證檔案。
- 請輸入用戶端憑證密碼。
- 選擇此饋送的TAXII伺服器版本。
- 在Collections部分,完成以下設定:
- 點選Discover以查找並選擇一個或多個可用的集合。
- 對於每個選定的集合,點選切換以啟用或關閉Extract and block suspicious objects選項。對於已啟動的選項,點擊
並選擇以下一種或多種可疑物件類型,從TAXII資料集提取並添加到可疑物件清單:-
網域
-
檔案 SHA-1
-
檔案 SHA-256
-
IP 位址
-
寄件者地址
-
URL
預設情況下,Trend Vision One 安全威脅資訊僅將未撤銷且具有以下任何標籤的 STIX 指標物件新增至可疑物件清單:-
異常活動
-
匿名化
-
歸因
-
良性
-
遭到入侵的
-
惡意活動
-
未知
若要指定包含的標籤,請前往 -
- 對於每個選定的集合,點選切換以啟用或關閉Run an auto sweep選項。啟用此選項會在成功訂閱後立即啟動一次性掃描任務,以搜尋您歷史資料中從當前集合中提取的任何指標。僅支援「報告」類型的STIX物件進行掃描。
- 在Polling criteria部分,完成以下設定:
- 選擇查詢TAXII信息源的頻率。
- 選擇您希望開始輪詢資訊的過去時間範圍。
- 按一下「儲存」。TAXII 提要顯示在TAXII Feeds中,用於自訂情報報告。要查看從您的提要訂閱生成的報告,請前往並點擊Custom標籤。