はじめに
脅威インテリジェンスの送信に最も広く採用されている業界標準は、STIX データ形式と TAXII プロトコルの組み合わせです。こちらを Sentinel で活用する場合、「Threat Intellignce - TAXII」データ コネクタを使用します。こちらの接続テスト・動作確認をしたい場合に無償で使える Pulsedive を紹介します。
Pulsedive の設定
Pulsedive は有償で脅威インテリジェンスを提供しているサービスですが、テスト用の接続確認は無料アカウントで利用可能です。
以下の URL にアクセスします。
[create a free account] をクリックします。
ログインに使うメールアドレスを入力して、受信したメールからアカウント情報を入力、アカウントを作成します。
アカウント作成後に右上 [Sign Up] > [Sign In] からログインします。
ログイン後、上部メニューの [API] > [Overview] をクリックします。
左側メニューから [STIX via TAXII] > [Quick Setup] をクリックします。
表示される API Root URL、Username、Password、Test collection の Collection ID をコピーしておきます。
Sentinel Threat Intellignce - TAXII データ コネクタ
コンテンツ ハブの [Threat Intelligence] をインストールするとデータ コネクタのメニューから [Threat intelligence - TAXII] を開くことができます。こちらに先ほどの情報を入れて保存します。(Friendly name は適当な名前を設定します)
1 -2 分後、[脅威インテリジェンス] メニューから以下のように取り込めていることが確認できます。
まとめ
Sentinel Threat Intelligence - TAXII データコネクタの動作確認方法を紹介しました。実際の脅威インテリジェンスデータとしては利用できませんが、無償で動作確認ができる点は非常にありがたいです。いつまで利用できるか分かりませんが、こちらのコネクタの動作確認に活用いただければと思います。
Discussion