TAXII(Trusted Automated eXchangeof Indicator Information)主要定義了網(wǎng)絡(luò)威脅情報(bào)共享的協(xié)議、服務(wù)和信息格式等。是對(duì)STIX在傳輸層面的補(bǔ)充。

個(gè)人的認(rèn)知和理解有限，關(guān)于其中的一些重要觀點(diǎn)，樣例以及一些思考和認(rèn)識(shí)總結(jié)如下,不足之處歡迎交流。

0 引言 提供結(jié)構(gòu)化、可機(jī)讀的威脅情報(bào)庫(kù)

目前的網(wǎng)絡(luò)威脅的情報(bào)共享方法，主要有手工的方式，網(wǎng)站訂閱的方式以及自動(dòng)化的方式。

Accuvant的Threat Intellgence白皮書(shū)也談到Threat Intellgence相關(guān)組成包括

1.Intellgence源;

2.融合及分析平臺(tái);

3.響應(yīng)系統(tǒng)(即利用情報(bào)數(shù)據(jù)自動(dòng)或手工執(zhí)行響應(yīng)動(dòng)作的工具和系統(tǒng))。從“第二步”到“關(guān)鍵的第三步”，提供結(jié)構(gòu)化、可被設(shè)備識(shí)別的安全威脅庫(kù)必不可少。

(一)TAXII關(guān)于威脅情報(bào)共享的模型分類(lèi)

TAXII主要可供安全情報(bào)的生產(chǎn)者(信息源thesource)、安全情報(bào)的使用者(subscribers訂閱者)，同時(shí)供威脅管理機(jī)構(gòu)包括政府、學(xué)術(shù)界、產(chǎn)業(yè)界等。

主要的威脅情報(bào)共享模型包括了點(diǎn)對(duì)點(diǎn)(Peer to Peer)、訂閱型(Source/Subscriber)、輻射型(Hub and Spoke )等三種方式。

上圖一看就明白了。

點(diǎn)對(duì)點(diǎn)(Peer to Peer)

訂閱型(Source/Subscriber)

輻射型(Hub and Spoke )

(二)TAXII關(guān)于威脅情報(bào)服務(wù)的類(lèi)型劃分

TAXII關(guān)于威脅信息交換的服務(wù)類(lèi)型以及如何獲得服務(wù)的通信格式都給了明確的說(shuō)明。主要有以下幾種類(lèi)型。

Discovery –(發(fā)現(xiàn)服務(wù))允許訂閱者了解TAXII服務(wù)方提供的服務(wù)類(lèi)型以及如何獲得服務(wù)。A way to learn what services an entity supports and how to interact with them

Collection Management – A way tolearn about and request subscriptions to Data Collections

Inbox Service – (推送信息服務(wù))A wayto receive pushed content (push messaging)

Poll Service– (拉回信息服務(wù))A way to request content (pull messaging)

在輻射型(Hub and Spoke)模式下，不同服務(wù)類(lèi)型的使用場(chǎng)景如下：

(三)TAXII Specifications andDocumentation

TAXII規(guī)格和文件主要包含：

服務(wù)規(guī)范：定義了TAXII的服務(wù)類(lèi)型、TAXII情報(bào)類(lèi)型以及情報(bào)交流格式

消息規(guī)范：采用XML格式

協(xié)議規(guī)范：確定了HTTP/HTTPS作為T(mén)AXII傳送的協(xié)議。從安全角度考慮可采用https協(xié)議傳輸。

查詢(xún)格式規(guī)范：定義了缺省的查詢(xún)格式和處理規(guī)則。

內(nèi)容及參考樣例：列舉了常用的樣例。

(四)Source/Subscriber案例

主要描述了在訂閱者簽署購(gòu)買(mǎi)合同，訂閱信息，信息共享的幾個(gè)過(guò)程。直接上圖來(lái)展示整個(gè)過(guò)程。

最近業(yè)余時(shí)間連續(xù)關(guān)注了一段時(shí)間安全情報(bào)。后面也繼續(xù)跟蹤一些相關(guān)的內(nèi)容。