TAXII (Trusted Automated eXchange of Intelligence Information, Доверенный автоматический обмен разведывательной информацией) — это открытый протокол и стандарт для безопасного обмена киберразведывательной информацией (CTI) между организациями, системами и сообществами в автоматизированном режиме. TAXII определяет, как передавать данные, используя модели взаимодействия «издатель-подписчик» (publish-subscribe) или «запрос-ответ» (request-response), работая поверх стандартных веб-протоколов (HTTP/HTTPS).
Возможности TAXII:
- Стандартизация обмена: Предоставляет единый, машиночитаемый способ передачи данных об угрозах между различными платформами и организациями.
- Поддержка моделей доставки:
- Режим коллекции (Collection): Модель «издатель-подписчик», где поставщик разведки публикует информацию в коллекции, а потребители подписываются и автоматически получают обновления.
- Режим канала (Channel): Устаревшая модель peer-to-peer.
- Режим «запрос-ответ» (Poll): Потребитель периодически опрашивает сервер TAXII для получения новых данных.
- Безопасная передача: Использует стандартные механизмы аутентификации и шифрования (TLS, HTTP Basic Auth, API-ключи) для защиты конфиденциальности и целостности передаваемой разведданной.
- Интеграция с STIX: TAXII является транспортным протоколом, специально разработанным для передачи объектов и пакетов данных в формате STIX. Вместе они образуют комплексное решение для обмена CTI.
- Автоматизация процессов: Позволяет SOC, CERT/CSIRT и коммерческим провайдерам Threat Intelligence автоматически получать и применять актуальные индикаторы компрометации (IoC) и контекст об угрозах.
TAXII, наряду со STIX, является ключевым стандартом, разработанным сообществом OASIS CTI TC для преодоления разрозненности в обмене информацией об угрозах. Он позволяет организациям участвовать в коллективных обменах разведданными (ISAC/ISAO), подписываться на коммерческие фиды угроз и создавать внутренние каналы распространения CTI. Реализации TAXII серверов и клиентов встроены во многие современные платформы SIEM, SOAR и Threat Intelligence.
Упоминания
-
6 февраля 2026
Открытая публикация индикаторов компрометации несёт операционные риски
Публичное размещение деталей уязвимостей и индикаторов компрометации (IoC) может предоставлять злоумышленникам возможность анализировать эффективность своих инструментов и оперативно адаптировать методы...
