TAXII(Trusted Automated eXchangeof Indicator Information)主要定義了網絡威脅情報共享的協議、服務和信息格式等。是對STIX在傳輸層面的補充。
TAXII(Trusted Automated eXchangeof Indicator Information)主要定義了網絡威脅情報共享的協議、服務和信息格式等。是對STIX在傳輸層面的補充。
個人的認知和理解有限,關於其中的一些重要觀點,樣例以及一些思考和認識總結如下,不足之處歡迎交流。
0 引言 提供結構化、可機讀的威脅情報庫
目前的網絡威脅的情報共享方法,主要有手工的方式,網站訂閱的方式以及自動化的方式。
Accuvant的Threat Intellgence白皮書也談到Threat Intellgence相關組成包括
1.Intellgence源;
2.融合及分析平臺;
3.響應系統(即利用情報數據自動或手工執行響應動作的工具和系統)。從「第二步」到「關鍵的第三步」,提供結構化、可被設備識別的安全威脅庫必不可少。
(一)TAXII關於威脅情報共享的模型分類
TAXII主要可供安全情報的生產者(信息源thesource)、安全情報的使用者(subscribers訂閱者),同時供威脅管理機構包括政府、學術界、產業界等。
主要的威脅情報共享模型包括了點對點(Peer to Peer)、訂閱型(Source/Subscriber)、輻射型(Hub and Spoke )等三種方式。
上圖一看就明白了。
點對點(Peer to Peer)
訂閱型(Source/Subscriber)
輻射型(Hub and Spoke )
(二)TAXII關於威脅情報服務的類型劃分
TAXII關於威脅信息交換的服務類型以及如何獲得服務的通信格式都給了明確的說明。主要有以下幾種類型。
Discovery –(發現服務)允許訂閱者了解TAXII服務方提供的服務類型以及如何獲得服務。A way to learn what services an entity supports and how to interact with them
Collection Management – A way tolearn about and request subscriptions to Data Collections
Inbox Service – (推送信息服務)A wayto receive pushed content (push messaging)
Poll Service– (拉回信息服務)A way to request content (pull messaging)
在輻射型(Hub and Spoke)模式下,不同服務類型的使用場景如下:
(三)TAXII Specifications andDocumentation
TAXII規格和文件主要包含:
服務規範:定義了TAXII的服務類型、TAXII情報類型以及情報交流格式
消息規範:採用XML格式
協議規範:確定了HTTP/HTTPS作為TAXII傳送的協議。從安全角度考慮可採用https協議傳輸。
查詢格式規範:定義了預設的查詢格式和處理規則。
內容及參考樣例:列舉了常用的樣例。
(四)Source/Subscriber案例
主要描述了在訂閱者籤署購買合同,訂閱信息,信息共享的幾個過程。直接上圖來展示整個過程。
最近業餘時間連續關注了一段時間安全情報。後面也繼續跟蹤一些相關的內容。
【責任編輯:
藍雨淚TEL:(010)68476606】