TAXII Protocol
TAXII Protocol 是什么?
TAXII ProtocolTAXII 是 OASIS 制定的基于 HTTPS 的应用层协议,用于在组织之间发布、发现和消费威胁情报,通常承载 STIX 内容。
可信自动化指标信息交换(TAXII)目前版本为 2.1,是 OASIS 制定的标准,定义了一套基于 HTTPS 的 REST 风格 API,用于交换威胁情报。TAXII 服务器对外暴露 API root 和类似通道的集合(Collection),客户端可从中拉取或推送 STIX 2.1 对象,内置鉴权、分页和过滤功能。TAXII 是与 STIX 数据模型配套的传输层,它不规定内容,只定义如何发现和搬运。各行业 ISAC、ISAO、国家级 CERT 和商业情报提供商都会部署 TAXII 服务器,让 SIEM、TIP、SOAR 等平台自动订阅情报,而不必依赖电子邮件或 PDF。
● 示例
- 01
从行业 ISAC 的 TAXII 集合中每日拉取 STIX 数据包并导入 TIP。
- 02
将内部生成的指标发布到 TAXII 服务器,供合作伙伴 SOC 消费。
● 常见问题
TAXII Protocol 是什么?
TAXII 是 OASIS 制定的基于 HTTPS 的应用层协议,用于在组织之间发布、发现和消费威胁情报,通常承载 STIX 内容。 它属于网络安全的 防御与运营 分类。
TAXII Protocol 是什么意思?
TAXII 是 OASIS 制定的基于 HTTPS 的应用层协议,用于在组织之间发布、发现和消费威胁情报,通常承载 STIX 内容。
TAXII Protocol 是如何工作的?
可信自动化指标信息交换(TAXII)目前版本为 2.1,是 OASIS 制定的标准,定义了一套基于 HTTPS 的 REST 风格 API,用于交换威胁情报。TAXII 服务器对外暴露 API root 和类似通道的集合(Collection),客户端可从中拉取或推送 STIX 2.1 对象,内置鉴权、分页和过滤功能。TAXII 是与 STIX 数据模型配套的传输层,它不规定内容,只定义如何发现和搬运。各行业 ISAC、ISAO、国家级 CERT 和商业情报提供商都会部署 TAXII 服务器,让 SIEM、TIP、SOAR 等平台自动订阅情报,而不必依赖电子邮件或 PDF。
如何防御 TAXII Protocol?
针对 TAXII Protocol 的防御通常结合技术控制与运营实践,详见上方完整定义。
TAXII Protocol 还有哪些其他名称?
常见的别称包括: TAXII 2.1, 可信自动化指标信息交换。
● 相关术语
- defense-ops№ 1105
STIX
STIX 是 OASIS 制定的开放标准,以结构化、机器可读的语言表示和交换网络威胁情报。
- defense-ops№ 684
MISP
MISP 是一个开源威胁情报平台,用于收集、存储、关联并在可信社区之间共享结构化指标和分析师上下文。
- defense-ops№ 1158
TLP
TLP 是由 FIRST 维护的一套简单标签方案,用于标明共享的网络安全信息的敏感程度以及允许的再分发范围。
- defense-ops№ 771
OTX
OTX 是一个开放的社区型威胁情报交换平台 —— 最初由 AlienVault 推出,现归 LevelBlue 运营 —— 研究人员在此以 Pulse 的形式发布指标。
- defense-ops№ 1148
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
- defense-ops№ 527
入侵指标(IoC)
可观察的取证工件,如文件哈希、IP、域名、URL 或注册表键,可表明系统曾被或正被攻陷。