在 【公益译文】有STIX语言描述威胁信息 就有标准来共享情报 来看TAXII信息自动化交换标准 ,我们了解到指标信息的可信自动化交换(TAXII™)为威胁情报服务和消息交换制定了标准。实施后,可助力在不同的组织和产品/服务间共享可操作的网络威胁信息。
这次《 TAXII服务规范 》,就是用于规范TAXII 服务、消息及消息交换,提出的要求适用于所有的TAXII 消息绑定及协议绑定。文末附全文下载。
TAXII服务
TAXII服务指用以支持一个或多个TAXII功能的一整套机制。一个TAXII实现可支持多个或所有定义的TAXII服务,也可以不支持任何此类服务。(后一种情况下,用户无需运行TAXII后台用以支持TAXII服务,而仍可使用TAXII的某些功能。)
服务定义
本节定义了如下服务:
- 发现服务,提供现有TAXII服务的相关信息;
- 集合管理服务(Collection Management Service),支持对于TAXII数据集合订阅的管理;
- 收件服务(Inbox Service),支持生产者发起的网络威胁信息推送(也就是推送消息服务);
- 轮询服务(Poll Service),支持消费者发起的网络威胁信息获取(也就是获取消息服务)。
下文就这些服务进行了详细讨论。
发现服务
发现服务机制提供TAXII服务是否可用及其使用情况等信息。发现服务为请求者提供一个TAXII服务清单以及这些服务的调用方法(即实现相关服务的TAXII后台的地址以及该后台所支持的绑定)。单个发现服务可从多个端点或甚至跨组织上报TAXII后台运行的TAXII服务,具体范围由发现服务所有者根据需要设置,但此种设置须符合法律规定、道德规范及其他相关要求。发现服务不需要提供其所检测到的所有服务信息,可基于多个因素决定向请求者(包括但不限于请求者的身份)提供哪些服务的信息。为了便于自动化,每个《TAXII协议绑定规范》就发现服务推荐了默认地址。
发现服务实现必须支持3.3节定义的发现交换。
集合管理服务
集合管理服务作为一种机制,允许消费者请求获取TAXII数据集合信息、订阅TAXII数据集合、获取订阅状态信息或终止现有TAXII数据集合订阅。集合管理服务不发送TAXII数据集合内容(即生产者发布的与指定TAXII数据集合相关的威胁信息)。TAXII数据集合内容可以通过生产者发起的交换流程发送给消费者的TAXII后台,通过后台实现收件服务,或者在消费者向生产者的轮询服务发送请求后直接发送给消费者。
订阅中可以包含查询,对推送和主动获取的数据集合内容进行限制,只传送符合条件的内容。
集合管理服务实现必须支持3.4和3.5节中定义的集合信息交换或订阅管理交换。
集合管理服务实现可以同时支持集合信息交换和订阅管理交换。
收件服务
收件服务机制允许消费者在生产者发起的交换流程中接收生产者的消息。消费者欲通过生产者发起的交换流程接收TAXII数据集合内容时可使用这项服务,这里所说的内容可以是消费者向生产者订阅的数据或生产者推送的数据。
收件服务实现必须支持3.2节定义的收件交换。
轮询服务
轮询服务机制中,生产者允许消费者发起请求,主动获取TAXII数据集合。消费者联系轮询服务,明确告知所需要的TAXII数据集合内容,这种请求可在消费者方便时随时发起。注意,在提供TAXII数据集合内容时,生产者可将其发起的推送到消费者收件服务的内容与消费者向生产者轮询服务请求的内容结合起来。
消费者在联系轮询服务时可设置查询条件,只接收符合条件的集合内容。
轮询服务实现必须支持3.6节定义的轮询交换。
轮询服务实现可支持3.6.1节定义的拆分轮询机制。所有的TAXII 1.1客户端在与轮询服务通信时必须支持拆分轮询机制。
更多内容请查看下面全文下载。
免责声明
本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。
TAXII服务规范
点击图片下载
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/taxii-services-specification
如果此文章侵权,请留言,我们进行删除。
0day
文章评论