TAXII Protocol
Qu'est-ce que TAXII Protocol ?
TAXII ProtocolTAXII est un protocole applicatif OASIS au-dessus de HTTPS pour publier, decouvrir et consommer de la threat intelligence — generalement du contenu STIX — entre organisations.
Trusted Automated eXchange of Indicator Information (TAXII), actuellement version 2.1, est un standard OASIS qui definit une API de type REST sur HTTPS pour echanger de la threat intelligence. Un serveur TAXII expose des API roots et des collections de type canal a partir desquelles les clients tirent ou poussent des objets STIX 2.1, avec authentification, pagination et filtrage integres. TAXII est la couche de transport complementaire du modele de donnees STIX : il ne dicte pas le contenu, seulement comment le decouvrir et le deplacer. Les ISAC, ISAO, CERT nationaux et fournisseurs commerciaux exploitent des serveurs TAXII pour que les SIEM, TIP et SOAR s'abonnent automatiquement aux flux au lieu de dependre d'e-mails ou de PDF.
● Exemples
- 01
Recuperation quotidienne de bundles STIX depuis la collection TAXII d'un ISAC sectoriel vers une TIP.
- 02
Publication d'indicateurs produits en interne sur un serveur TAXII consomme par des SOC partenaires.
● Questions fréquentes
Qu'est-ce que TAXII Protocol ?
TAXII est un protocole applicatif OASIS au-dessus de HTTPS pour publier, decouvrir et consommer de la threat intelligence — generalement du contenu STIX — entre organisations. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie TAXII Protocol ?
TAXII est un protocole applicatif OASIS au-dessus de HTTPS pour publier, decouvrir et consommer de la threat intelligence — generalement du contenu STIX — entre organisations.
Comment fonctionne TAXII Protocol ?
Trusted Automated eXchange of Indicator Information (TAXII), actuellement version 2.1, est un standard OASIS qui definit une API de type REST sur HTTPS pour echanger de la threat intelligence. Un serveur TAXII expose des API roots et des collections de type canal a partir desquelles les clients tirent ou poussent des objets STIX 2.1, avec authentification, pagination et filtrage integres. TAXII est la couche de transport complementaire du modele de donnees STIX : il ne dicte pas le contenu, seulement comment le decouvrir et le deplacer. Les ISAC, ISAO, CERT nationaux et fournisseurs commerciaux exploitent des serveurs TAXII pour que les SIEM, TIP et SOAR s'abonnent automatiquement aux flux au lieu de dependre d'e-mails ou de PDF.
Comment se défendre contre TAXII Protocol ?
Les défenses contre TAXII Protocol combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de TAXII Protocol ?
Noms alternatifs courants : TAXII 2.1, Trusted Automated eXchange of Indicator Information.
● Termes liés
- defense-ops№ 1105
STIX
STIX est un standard OASIS qui definit un langage structure et lisible par machine pour representer et echanger la cyber threat intelligence entre organisations et outils.
- defense-ops№ 684
MISP
MISP est une plateforme open source de threat intelligence pour collecter, stocker, correler et partager des indicateurs structures et du contexte analytique entre communautes de confiance.
- defense-ops№ 1158
TLP
TLP est un schema d'etiquetage simple maintenu par FIRST qui signale le niveau de sensibilite d'une information partagee et avec qui elle peut etre redistribuee.
- defense-ops№ 771
OTX
OTX est une plateforme ouverte et communautaire d'echange de threat intelligence — initialement AlienVault, desormais LevelBlue OTX — ou les chercheurs publient des indicateurs sous forme de Pulses.
- defense-ops№ 1148
Renseignement sur les menaces
Connaissance fondée sur des preuves concernant les menaces et leurs auteurs — indicateurs, TTP et contexte — utilisée pour orienter les décisions de sécurité et la détection.
- defense-ops№ 527
Indicateur de Compromission (IoC)
Artefact observable — hash, IP, domaine, URL, clé de registre — qui suggère qu'un système est ou a été compromis.