您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 招聘面试 > 威胁情报的“结构化”“可机读”—TAXII标准
威胁情报的“结构化”“可机读”—TAXII标准TAXII(TrustedAutomatedeXchangeofIndicatorInformation)主要定义了网络威胁情报共享的协议、服务和信息格式等。是对STIX在传输层面的补充。作者:来源:sec-un|2016-01-2212:36收藏分享TAXII(TrustedAutomatedeXchangeofIndicatorInformation)主要定义了网络威胁情报共享的协议、服务和信息格式等。是对STIX在传输层面的补充。个人的认知和理解有限,关于其中的一些重要观点,样例以及一些思考和认识总结如下,不足之处欢迎交流。0引言提供结构化、可机读的威胁情报库目前的网络威胁的情报共享方法,主要有手工的方式,网站订阅的方式以及自动化的方式。Accuvant的ThreatIntellgence白皮书也谈到ThreatIntellgence相关组成包括1.Intellgence源;2.融合及分析平台;3.响应系统(即利用情报数据自动或手工执行响应动作的工具和系统)。从“第二步”到“关键的第三步”,提供结构化、可被设备识别的安全威胁库必不可少。(一)TAXII关于威胁情报共享的模型分类TAXII主要可供安全情报的生产者(信息源thesource)、安全情报的使用者(subscribers订阅者),同时供威胁管理机构包括政府、学术界、产业界等。主要的威胁情报共享模型包括了点对点(PeertoPeer)、订阅型(Source/Subscriber)、辐射型(HubandSpoke)等三种方式。上图一看就明白了。点对点(PeertoPeer)订阅型(Source/Subscriber)辐射型(HubandSpoke)(二)TAXII关于威胁情报服务的类型划分TAXII关于威胁信息交换的服务类型以及如何获得服务的通信格式都给了明确的说明。主要有以下几种类型。Discovery–(发现服务)允许订阅者了解TAXII服务方提供的服务类型以及如何获得服务。AwaytolearnwhatservicesanentitysupportsandhowtointeractwiththemCollectionManagement–AwaytolearnaboutandrequestsubscriptionstoDataCollectionsInboxService–(推送信息服务)Awaytoreceivepushedcontent(pushmessaging)PollService–(拉回信息服务)Awaytorequestcontent(pullmessaging)在辐射型(HubandSpoke)模式下,不同服务类型的使用场景如下:(三)TAXIISpecificationsandDocumentationTAXII规格和文件主要包含:服务规范:定义了TAXII的服务类型、TAXII情报类型以及情报交流格式消息规范:采用XML格式协议规范:确定了HTTP/HTTPS作为TAXII传送的协议。从安全角度考虑可采用https协议传输。查询格式规范:定义了缺省的查询格式和处理规则。内容及参考样例:列举了常用的样例。(四)Source/Subscriber案例主要描述了在订阅者签署购买合同,订阅信息,信息共享的几个过程。直接上图来展示整个过程。最近业余时间连续关注了一段时间安全情报。后面也继续跟踪一些相关的内容。
本文标题:威胁情报的“结构化”“可机读”—TAXII标准
链接地址:https://www.777doc.com/doc-2484307 .html