iT邦幫忙

2022 iThome 鐵人賽

DAY 8
1
Security

威脅情資分析與挑戰系列 第 8

[Day 8] 威脅情資概述 - 可信的自動情資交換 TAXII

  • 分享至 

  • xImage
  •  

STIX 資料格式和 TAXII 通訊協定的組合是業界最廣泛採用傳輸網路威脅情報的標準[1]。

Trusted Automated Exchange of Intelligence Information

簡稱 TAXII,因為我還沒看到一個好的繁體中文翻譯所以就這麼稱呼他了,我在寫論文時一直在想 Intelligence Information 可以這樣寫麼? 就索性只要是情資我都稱他 Intelligence,因為 OSINT 的英文叫做 Open-Source Intelligence,尾巴也不是 Information...,這裡把 TAXII 翻成「可信的自動情資交換」又覺得很怪...,他是 OSI 的第七層協議,透過 HTTPS 來交換 CTI。


TAXII 示意圖[2]

TAXII 有兩個服務:

  • 集合 (Collections):Server 跟 Client 的交換埠口,這是我求它傳東西給我。
  • 頻道 (Channel):生產者 (producer) 透過 Server 向 Client (Consumer)推播訊息,這是它直接把東西丟給我,懂的都懂齁。

官方文件定義非常明確: https://docs.oasis-open.org/cti/taxii/v2.1/os/taxii-v2.1-os.html#_Toc31107488

不過我在 anomali 的網站上有看到它把 TAXII 分成更多類 https://www.anomali.com/resources/what-are-stix-taxii

三個模型以及四個服務

模型

  • Hub and spoke:
  • Source/subscriber
  • Peer-to-peer

服務

  • Discovery
  • Collection Management
  • Inbox (像是頻道 Channel)
  • Poll (像是集合 Collections)

開源的 TAXII 伺服器

有沒有開源的 TAXII 伺服器跟用戶端呢!

EclecticIQ 就發佈了開源伺服器,可以從這邊下載 Docker
https://hub.docker.com/r/eclecticiq/opentaxii/

雖然看起來還有再更新,但比較像是在維護,沒有開發新的功能。

社群

也有一些社群資源 https://taxiiproject.github.io/community/

小結

今天比較無聊...,明天我們直接進入開源威脅情資平台吧!

Reference

[1] 將 Microsoft Sentinel 連線至 STIX/TAXII 威脅情報摘要 https://docs.microsoft.com/zh-tw/azure/sentinel/connect-threat-intelligence-taxii
[2] Sharing threat intelligence just got a lot easier! https://oasis-open.github.io/cti-documentation/


上一篇
[Day 7] 威脅情資概述 - 結構化威脅資訊表達式 STIX
下一篇
[Day 9] 威脅情資概述 - 威脅情資平台 Threat Intelligence Platform
系列文
威脅情資分析與挑戰15
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言