[Day 8] 威脅情資概述 - 可信的自動情資交換 TAXII - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

2022 iThome 鐵人賽

DAY 8

1

Security

威脅情資分析與挑戰系列第 8 篇

[Day 8] 威脅情資概述 - 可信的自動情資交換 TAXII

14th鐵人賽 osint 威脅情資 taxii

2022-09-12 21:47:48

2001 瀏覽

分享至

STIX 資料格式和 TAXII 通訊協定的組合是業界最廣泛採用傳輸網路威脅情報的標準[1]。

Trusted Automated Exchange of Intelligence Information

簡稱 TAXII，因為我還沒看到一個好的繁體中文翻譯所以就這麼稱呼他了，我在寫論文時一直在想 Intelligence Information 可以這樣寫麼? 就索性只要是情資我都稱他 Intelligence，因為 OSINT 的英文叫做 Open-Source Intelligence，尾巴也不是 Information...，這裡把 TAXII 翻成「可信的自動情資交換」又覺得很怪...，他是 OSI 的第七層協議，透過 HTTPS 來交換 CTI。

TAXII 示意圖[2]

TAXII 有兩個服務：

集合 (Collections)：Server 跟 Client 的交換埠口，這是我求它傳東西給我。
頻道 (Channel)：生產者 (producer) 透過 Server 向 Client (Consumer)推播訊息，這是它直接把東西丟給我，懂的都懂齁。

官方文件定義非常明確： https://docs.oasis-open.org/cti/taxii/v2.1/os/taxii-v2.1-os.html#_Toc31107488

不過我在 anomali 的網站上有看到它把 TAXII 分成更多類 https://www.anomali.com/resources/what-are-stix-taxii

三個模型以及四個服務

模型

Hub and spoke:
Source/subscriber
Peer-to-peer

服務

Discovery
Collection Management
Inbox （像是頻道 Channel)
Poll (像是集合 Collections)

開源的 TAXII 伺服器

有沒有開源的 TAXII 伺服器跟用戶端呢!

EclecticIQ 就發佈了開源伺服器，可以從這邊下載 Docker
https://hub.docker.com/r/eclecticiq/opentaxii/

雖然看起來還有再更新，但比較像是在維護，沒有開發新的功能。

社群

也有一些社群資源 https://taxiiproject.github.io/community/

小結

今天比較無聊...，明天我們直接進入開源威脅情資平台吧!

Reference

[1] 將 Microsoft Sentinel 連線至 STIX/TAXII 威脅情報摘要 https://docs.microsoft.com/zh-tw/azure/sentinel/connect-threat-intelligence-taxii
[2] Sharing threat intelligence just got a lot easier! https://oasis-open.github.io/cti-documentation/

[Day 7] 威脅情資概述 - 結構化威脅資訊表達式 STIX

[Day 9] 威脅情資概述 - 威脅情資平台 Threat Intelligence Platform

系列文

威脅情資分析與挑戰共 15 篇

目錄

RSS系列文訂閱系列文

15 人訂閱

完整目錄

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22199 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙