TAXII 2.1 インテグレーションガイド

以下の手順は、TAXII 2.1を設定して脅威インジケーターをSecureworks® Taegis™ XDRに取り込み、Bring Your Own Threat Intel Detectorを通じて検知を生成する方法です。

注意

テナントごとにアクティブなインジケーターの上限は15,000件です。インジケーターが上限に達した場合、最も古いインジケーターから削除され、上限を超えないように維持されます。

TAXII 2.1 の要件

XDRと連携するには、TAXII 2.1のRoot URL、コレクションID、ユーザー名、パスワードが必要です。

インテグレーションから提供されるデータ

以下のデータタイプを含むTAXII 2.1コレクション：

• IPアドレス
• ドメイン
• URL
• ファイルハッシュ（SHA1、SHA256、MD5）

XDRでのインテグレーション追加

1. Taegis Menuからインテグレーション → クラウドAPIを選択します。

2. ページ上部のインテグレーションの追加を選択します。

   

   インテグレーションの追加

3. 最適化されたタブからTAXIIを選択します。

4. 以下の項目を入力します：

   • インテグレーション名 — このインテグレーションがXDRで使用する名前
   • 重大度 — アラートに使用するデフォルトの重大度
   • TAXII 2.1 Root URL
   • TAXII 2.1 コレクションID
   • TAXII 2.1 ユーザー名
   • TAXII 2.1 パスワード

   

   新しいTAXII 2.1インテグレーションの作成

5. 完了を選択します。クラウドAPIインテグレーションのページに、正常に追加されたTAXII 2.1インテグレーションが表示されます。

上記の手順が完了すると、TAXII 2.1インテグレーションの詳細がクラウドAPIで確認できます。Taegis Menuからインテグレーション → クラウドAPIを選択してください。

検出の重大度

TAXII経由で取り込まれたインジケーターによって生成された検知は、設定時に指定したXDRインテグレーションの重大度が使用されます。

クエリ言語検索例

過去24時間のBring Your Own Threat Intel検知を検索するには：

from detection metadata.creator.detector.detector_id='app:detect:byoti' and EARLIEST=-24h

関連トピック

• APIインテグレーションのステータスと正常性の確認
• インテグレーションの削除
• Bring Your Own Threat Intel Detector