TAXII(存档)

信任的自动交换指标信息(TAXII™)是一个自由和开放的传输机制,规范网络威胁的自动交换信息。

这个TAXII 1。x网站已经存档。去TAXII 2.0网站

动力

分享cyber-risk情报和防御策略已成为景观必须在今天的威胁。没有一个组织可以现实地坐在隔离和仍然能够保卫自己。

通过了解对手的行为对一系列目标在一段时间内,后卫获得宝贵的见解攻击者的总体目标和战略。

TAXII授权组织分享关于威胁的态势感知和他们选择的合作伙伴,同时利用现有关系和系统。

TAXII首选交流机制结构化的威胁信息表达式(斯蒂克斯™)

目标

  • 使及时、安全威胁信息的共享在网络社区的后卫。
  • 支持广泛的用例和实践常见的网络威胁信息共享的社区。
  • 需要采用TAXII最小化操作更改。

通过使用TAXII,组织可以分享斯蒂克斯内容在一个安全的、自动化的方式。

共享模型

TAXII旨在整合与现有的共享协议,包括访问控制的局限性。

信息支持,支持订阅feed和按需查询。

TAXII尽可能利用现有的协议——原生支持HTTPHTTPS

中心和说话

中心和说话是一个共享的模型,一个组织功能的中央清算所的信息,或中心,协调合作伙伴之间的信息交换,或辐条。辐条可以生产和/或使用的信息中心。

轴与辐条模式

源/用户

源/用户是一个共享的模型,一个组织功能单一的信息来源并将这些信息发送给用户。

源/订阅者模型

点对点

点对点是一个共享的模型在两个或两个以上的组织直接与彼此分享信息。点对点共享模型可能是特别的,在信息交换不协调的时间和需要的基础上完成,可能与法律协议,建立了良好定义的程序,或在中间。

点对点模式

TAXII社区

TAXII转换绿洲。看到社区详情页面。

一些快捷键:

绿洲网络威胁情报(CTI)技术委员会(TC)——TAXII CTI TC TAXII小组开发的。

邮件列表——保持最新的开发和使用。

开发人员资源——发展规范的中央位置,工具和文档(包括网站)。

斯蒂克斯/ TAXII支持者——产品和开源项目的列表使用TAXII和斯蒂克斯。

常见问题

TAXII是什么?

TAXII社区努力规范可信,自动化的网络威胁信息的交换。TAXII定义了一组服务和消息交换,实现时,启用共享可操作的网络威胁信息的跨组织和产品/服务边界的检测、预防和缓解的网络威胁。

TAXII不是一个特定的信息共享计划,它不定义信托协议,治理,或者非技术方面的信息共享网络威胁。

相反,TAXII使组织达到改善态势感知对新兴的威胁,并使组织能够很容易地共享他们选择的合作伙伴选择的信息,同时利用现有关系和系统。

我在哪里可以得到TAXII ?

当前版本是TAXII 2.0版本上可用TAXII 2.0网站

的存档以前的版本在这个网站。

TAXII许可吗?

看到使用条款

使用TAXII是谁?

最新的“斯蒂克斯和TAXII支持者”名单现在可用在绿洲网站上产品开源项目

一个注册表单可以从OASIS CTI TC请求包含在“斯蒂克斯/ TAXII支持者”列出了CTI TC主持。

与TAXII我能做什么?

TAXII实现使安全、一致和自动化的网络威胁信息的交换。TAXII服务可以用来支持广泛的共享模型和社区的需求。与标准化服务、消息和消息交换,TAXII实现促进自动化和消除需要多个自定义,点对点交流实现。TAXII简化并加速网络威胁信息交换。

什么数据格式和消息协议TAXII支持吗?未来发展预期?

目前,TAXII定义了一个XML数据格式和HTTP / HTTPS协议的消息。细节可以发现TAXII XML消息绑定规范和TAXII HTTP协议绑定规范。未来的扩张到其他协议和消息格式是可行的,根据社会的需求。TAXII规格都写在模块化方式,以适应多个消息格式和消息协议。由于社区的兴趣和广泛使用,XML和HTTP / HTTPS被选为初始TAXII消息格式和规范。

我可以使用TAXII分享指标列表吗?如果是这样,如何?

TAXII实现可以分享任何内容,只要它可以表示为一个TAXII消息。使用斯蒂克斯建议捕捉指标列表(或其他网络威胁)数据通过TAXII无缝共享。

你如何沟通TAXII服务及其使用吗?

可用TAXII服务及其使用可以通过TAXII发现沟通服务。发现服务提供了一个请求者的列表TAXII服务和如何调用这些服务。具体细节可以找到TAXII服务规范。

我可以使用TAXII交换加密的数据吗?如果是这样,如何?

是的,加密的数据可以使用TAXII交换。内容可以直接在TAXII加密消息,和TAXII协议绑定也可以支持加密整个TAXII的消息在网络上。具体细节可以发现TAXII服务规范和TAXII内容绑定引用。

是一个内容提供商将储物之间使用不同的绑定和/或翻译各种内容绑定吗?

内容提供者不需要存储内容使用不同的绑定,绑定之间不需要翻译内容。消费背后的想法表示内容的列表绑定允许消费者避免接收内容无法解析,而不是一个期望,中心将复制所有的内容在每个请求的格式。内容提供商可以提供相同的内容以多种格式为了支持更广泛的接受但是这样做不是必需的。

为什么XML模式似乎比XML绑定在某些情况下更宽容吗?

XML绑定规范中的一个元素在某些情况下可能需要但在其他可选的,但在模式总是显示为可选的。例如,在一个“订阅管理响应消息”“订阅”字段是可选的,如果执行被请求的动作状态,否则是必需的,然而XML绑定说“低氮”计数。由于XML模式定义的局限性,有必要使用更灵活的定义,即使它似乎完全一旦其他动作类型。记住,XML模式并不是认为是规范——它只存在作为一个援助,但众所周知,它比规范更宽容。

与其他的努力之间的关系

斯蒂克斯

结构化的威胁信息表达式(斯蒂克斯™)是一种结构化语言来描述网络威胁信息可以共享,存储和分析以一致的方式。斯蒂克斯是一个有效载荷TAXII可以传达。斯蒂克斯表示网络威胁信息的标准化和结构化的方式。斯蒂克斯描述所共享,而TAXII定义如何斯蒂克斯负载共享。

MAEC

恶意软件属性枚举和表征(MAEC™)沟通是一种结构化语言编码和高保真恶意软件基于属性信息等行为,工件和攻击模式。斯蒂克斯是TAXII可以传达一个有效载荷,并使用MAEC斯蒂克斯可以描述恶意软件。