TAXIIフィードの統合

手順

1. Workflow and Automation → Third-Party Integration
2. [統合] 列で、 TAXII Feedsをクリックします。
3. TAXIIフィードを追加または編集します。
   • フィードを追加するには、 [追加]をクリックします。
   • フィードを編集するには、フィード名をクリックします。
4. [一般]セクションで、次の設定を完了してください。
   1. このフィードのTAXIIサーバのバージョンを選択します。

      注意 TAXII 2.0および2.1がサポートされます。フィードの追加後にTAXIIサーバのバージョンを変更することはできません。

   2. このTAXIIフィードの発見ユニフォームリソースロケーター (URL) を入力してください。
   3. サーバが使用している場合は[CA証明書を使用]を選択し、[選択]をクリックしてCA証明書ファイルを見つけてください。
   4. サーバが必要とする場合は[認証情報を指定してください]を選択し、認証に使用するユーザ名とパスワードを入力してください。
   5. サーバが必要とする場合は[サーバでクライアント認証を要求]を選択し、[選択]をクリックしてクライアント証明書ファイルを見つけてください。
   6. クライアント証明書のパスフレーズを入力してください。
5. [コレクション]セクションで、次の設定を完了してください。
   1. [ディスカバー] をクリックして、使用可能なコレクションを1つ以上検索して選択します。
   2. 選択した各コレクションについて、[不審オブジェクトを抽出してブロック]オプションを有効または無効にするには、トグルをクリックしてください。
      有効なオプションの場合は、をクリックし、TAXIIフィードコレクションから抽出して不審オブジェクトリストに追加する以下の不審オブジェクトタイプの1つ以上を選択してください。

      • ドメイン
      • ファイルSHA-1
      • ファイルSHA-256
      • IPアドレス
      • 送信者アドレス
      • URL

      デフォルトでは、Trend Vision One脅威インテリジェンスは、取り消されておらず、以下のいずれかのラベルを持つSTIX痕跡オブジェクトのみを不審オブジェクトリストに追加します。

      • 異常な活動
      • 匿名化
      • 帰属
      • 良性
      • 感染
      • 悪意のある活動
      • 不明

      含まれるラベルを指定するには、[Threat Intelligence] → [Suspicious Object Management] → [Default settings]に移動してください
   3. 選択したコレクションごとに、トグルをクリックして [自動スイープを実行] オプションを有効または無効にします。
      このオプションを有効にすると、サブスクリプションが成功した直後に実行される1回限りのスイープタスクが開始され、現在のコレクションから抽出されたインジケータの履歴データが検索されます。スイープでは、「レポート」タイプのSTIXオブジェクトのみがサポートされます。
6. [ポーリング条件] セクションで、次の設定を行います。
   1. TAXIIフィードで情報をポーリングする頻度を選択します。
   2. ポーリング時に過去の情報を取得するためにさかのぼる期間を選択します。
7. [保存] をクリックします。
   TAXIIフィードはカスタムIntelligence Reportsで使用するために[TAXIIフィード]に表示されます。フィードサブスクリプションから生成されたレポートを確認するには、[Threat Intelligence] → Intelligence Reportsに移動し、[カスタム]タブをクリックしてください。