TAXII Protocol
Что такое TAXII Protocol?
TAXII ProtocolTAXII — прикладной протокол OASIS поверх HTTPS для публикации, обнаружения и получения киберразведывательных данных (как правило, контента STIX) между организациями.
Trusted Automated eXchange of Indicator Information (TAXII), текущая версия 2.1, — стандарт OASIS, определяющий REST-подобный API поверх HTTPS для обмена киберразведкой. Сервер TAXII публикует API-корни и каналоподобные коллекции, из которых клиенты получают или в которые помещают объекты STIX 2.1; встроены аутентификация, постраничный вывод и фильтрация. TAXII — это транспортный уровень, дополняющий модель данных STIX: он не диктует содержимое, а описывает, как его обнаруживать и передавать. ISAC, ISAO, государственные CERT и коммерческие поставщики разведданных запускают TAXII-серверы, чтобы SIEM, TIP и SOAR подписывались на потоки автоматически, а не получали материалы по почте или в PDF.
● Примеры
- 01
Ежедневная выгрузка STIX-бандлов из коллекции TAXII отраслевого ISAC в платформу TIP.
- 02
Публикация внутренних индикаторов на TAXII-сервере, который читают партнёрские SOC.
● Частые вопросы
Что такое TAXII Protocol?
TAXII — прикладной протокол OASIS поверх HTTPS для публикации, обнаружения и получения киберразведывательных данных (как правило, контента STIX) между организациями. Относится к категории Защита и операции в кибербезопасности.
Что означает TAXII Protocol?
TAXII — прикладной протокол OASIS поверх HTTPS для публикации, обнаружения и получения киберразведывательных данных (как правило, контента STIX) между организациями.
Как работает TAXII Protocol?
Trusted Automated eXchange of Indicator Information (TAXII), текущая версия 2.1, — стандарт OASIS, определяющий REST-подобный API поверх HTTPS для обмена киберразведкой. Сервер TAXII публикует API-корни и каналоподобные коллекции, из которых клиенты получают или в которые помещают объекты STIX 2.1; встроены аутентификация, постраничный вывод и фильтрация. TAXII — это транспортный уровень, дополняющий модель данных STIX: он не диктует содержимое, а описывает, как его обнаруживать и передавать. ISAC, ISAO, государственные CERT и коммерческие поставщики разведданных запускают TAXII-серверы, чтобы SIEM, TIP и SOAR подписывались на потоки автоматически, а не получали материалы по почте или в PDF.
Как защититься от TAXII Protocol?
Защита от TAXII Protocol обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия TAXII Protocol?
Распространённые альтернативные названия: TAXII 2.1, Trusted Automated eXchange of Indicator Information.
● Связанные термины
- defense-ops№ 1105
STIX
STIX — открытый стандарт OASIS, задающий структурированный, машиночитаемый язык для представления и обмена киберразведкой между организациями и инструментами.
- defense-ops№ 684
MISP
MISP — открытая платформа киберразведки для сбора, хранения, корреляции и обмена структурированными индикаторами и аналитическим контекстом в доверенных сообществах.
- defense-ops№ 1158
TLP
TLP — простая схема маркировки, поддерживаемая FIRST, которая указывает, насколько чувствительна разделяемая киберинформация и кому её можно перераспределять.
- defense-ops№ 771
OTX
OTX — открытая платформа обмена киберразведкой, изначально AlienVault, теперь LevelBlue OTX, где исследователи публикуют индикаторы, объединённые в Pulse.
- defense-ops№ 1148
Threat Intelligence
Основанные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования.
- defense-ops№ 527
Индикатор компрометации (IoC)
Наблюдаемый артефакт — хэш файла, IP, домен, URL, ключ реестра, — указывающий на то, что система была или находится в процессе компрометации.