TAXII(Trusted Automated eXchangeof Indicator Information)主要定義了網(wǎng)絡(luò)威脅情報共享的協(xié)議、服務(wù)和信息格式等。是對STIX在傳輸層面的補充。

個人的認知和理解有限，關(guān)于其中的一些重要觀點，樣例以及一些思考和認識總結(jié)如下,不足之處歡迎交流。

0 引言 提供結(jié)構(gòu)化、可機讀的威脅情報庫

目前的網(wǎng)絡(luò)威脅的情報共享方法，主要有手工的方式，網(wǎng)站訂閱的方式以及自動化的方式。

Accuvant的Threat Intellgence白皮書也談到Threat Intellgence相關(guān)組成包括

1.Intellgence源;

2.融合及分析平臺;

3.響應(yīng)系統(tǒng)(即利用情報數(shù)據(jù)自動或手工執(zhí)行響應(yīng)動作的工具和系統(tǒng))。從“第二步”到“關(guān)鍵的第三步”，提供結(jié)構(gòu)化、可被設(shè)備識別的安全威脅庫必不可少。

(一)TAXII關(guān)于威脅情報共享的模型分類

TAXII主要可供安全情報的生產(chǎn)者(信息源thesource)、安全情報的使用者(subscribers訂閱者)，同時供威脅管理機構(gòu)包括政府、學(xué)術(shù)界、產(chǎn)業(yè)界等。

主要的威脅情報共享模型包括了點對點(Peer to Peer)、訂閱型(Source/Subscriber)、輻射型(Hub and Spoke )等三種方式。

上圖一看就明白了。

點對點(Peer to Peer)

訂閱型(Source/Subscriber)

輻射型(Hub and Spoke )

(二)TAXII關(guān)于威脅情報服務(wù)的類型劃分

TAXII關(guān)于威脅信息交換的服務(wù)類型以及如何獲得服務(wù)的通信格式都給了明確的說明。主要有以下幾種類型。

Discovery –(發(fā)現(xiàn)服務(wù))允許訂閱者了解TAXII服務(wù)方提供的服務(wù)類型以及如何獲得服務(wù)。A way to learn what services an entity supports and how to interact with them

Collection Management – A way tolearn about and request subscriptions to Data Collections

Inbox Service – (推送信息服務(wù))A wayto receive pushed content (push messaging)

Poll Service– (拉回信息服務(wù))A way to request content (pull messaging)

在輻射型(Hub and Spoke)模式下，不同服務(wù)類型的使用場景如下：

(三)TAXII Specifications andDocumentation

TAXII規(guī)格和文件主要包含：

服務(wù)規(guī)范：定義了TAXII的服務(wù)類型、TAXII情報類型以及情報交流格式

消息規(guī)范：采用XML格式

協(xié)議規(guī)范：確定了HTTP/HTTPS作為TAXII傳送的協(xié)議。從安全角度考慮可采用https協(xié)議傳輸。

查詢格式規(guī)范：定義了缺省的查詢格式和處理規(guī)則。

內(nèi)容及參考樣例：列舉了常用的樣例。

(四)Source/Subscriber案例

主要描述了在訂閱者簽署購買合同，訂閱信息，信息共享的幾個過程。直接上圖來展示整個過程。

最近業(yè)余時間連續(xù)關(guān)注了一段時間安全情報。后面也繼續(xù)跟蹤一些相關(guān)的內(nèi)容。