TAXII(TrustedAutomatedeXchangeofIndicatorInformation)主要定义了网络威胁情报共享的协议、服务和信息格式。它是STIX在传输层的补充。个人的认知和理解是有限的。现将一些重要的观点、事例及一些思考和认识总结如下。不足之处欢迎交流。0简介提供一个结构化的、机器可读的威胁情报库。目前网络威胁情报共享方式主要有人工方式、网站订阅方式和自动化方式。Accuvant的ThreatIntelligence白皮书也提到ThreatIntelligence的相关组成部分包括1.情报来源;2、融合分析平台;3.响应系统(即利用情报数据自动或手动执行响应动作的工具和系统)。从“第二步”到“关键的第三步”,提供一个结构化的、可以被设备识别的安全威胁库是必不可少的。(1)TAXII威胁情报共享模型分类TAXII主要面向安全情报的生产者(信息来源thesource)、安全情报的使用者(订阅者subscribers)、威胁管理组织包括政府、学术界、工业界等。主要的威胁情报共享模型包括点对点(PeertoPeer)、订阅(Source/Subscriber)和辐射(HubandSpoke)方式。从上图就很清楚了。点对点(PeertoPeer)订阅(Source/Subscriber)辐射(HubandSpoke)(2)TAXIITypesofThreatIntelligenceServiceTypesTAXIITypesofThreatInformationExchangeServicesandCommunicationFormatsforObtainingServicesareClearinstructionof.主要有以下几种。发现——(发现服务)允许订阅者了解TAXII服务提供商提供的服务类型以及如何获取这些服务。了解实体支持哪些服务以及如何与它们交互的方式集合管理——了解和请求订阅数据集合的方式收件箱服务——(推送信息服务)接收推送内容的方式(推送消息)投票服务——(PullinformationService)一种请求内容的方式(pullmessaging)在HubandSpoke模式下,不同服务类型的使用场景如下:(3)TAXIISpecificationsandDocumentationTAXII规范和文档主要包括:servicespecification:definesTAXIIType服务、TAXII情报类型、情报交换格式报文规范:XML格式协议规范:确定HTTP/HTTPS为TAXII传输协议。从安全角度考虑,可以使用HTTPS协议进行传输。查询格式规范:定义了默认的查询格式和处理规则。内容和参考示例:列出了常用的示例。(4)Source/Subscriber案例??主要描述了订阅者签订购买合同、订阅信息、分享信息的几个过程。直接上图展示整个过程。最近一段时间,业余时间都在关注安全智能。后面我会继续追踪一些相关的内容。
