本文讲的是 Anomali推出免费STIX/TAXII威胁情报工具,安全公司Anomali在上个月下旬发布了其新的免费的STAXX工具以接收威胁情报馈送,旨在填补信息共享平台 Soltra Edge 的关闭所留下的空白。
威胁馈送领域里,STIX(结构化威胁信息表达)和TAXII(可信自动化指标信息交换),是分析师以标准化方式获取情报的两项核心技术。
企业消费STIX和TAXII的主要方式之一,就是通过存款信托及结算机构(DTCC)与金融服务信息共享和分析中心(FS-ISAC)联合开发的免费 Soltra Edge 软件。但该服务如今已被关停。
Anomali的STAXX是对Soltra关停的直接响应,旨在帮助企业能继续方便地从STIX和TAXII受益。
Anomali首席执行官休·尼曼则称:“STAXX是对STIX/TAXII的融合与致敬。STIX/TAXII是使用最广的,用以描述网络威胁信息的语言、服务和消息交换协议。作为维护STIX/TAXII标准的组织——OASIS网络威胁情报委员会的创始成员,我们完全致力于支持和发展STIX/TAXII。”
Anomali这家安全公司原名ThreatStream,今年2月才改名为Anomali。该公司至今已收获5600万美元风险投资,包括一笔今年4月21日的3000万美元C轮投资。
Anomali的产品,包括帮助企业匹配客户日志数据和威胁情报,以完整识别潜在威胁指标(IOC)的平台。STAXX是其全新工作,没有基于任何现有Anomali产品。
尼曼则说:“STAXX是Anomali打造的专用产品,既不是将开源项目重包装成Anomali产品,也不是ThreatStream引擎的拆散重装。我们发布STAXX,是为了给Soltra客户提供访问任意STIX/TAXII服务器上网络威胁情报的替代选择。”
STAXX没有内置任何限制,企业可随意配置馈送源。Anomali的目标是让STAXX成为发现、访问和管理威胁情报馈送最简单最高效的方式。免费策略可使尽可能多的用户和公司获得有价值的威胁情报信息。
从部署和安装的角度出发,尼曼则强调:就像Soltra一样,STAXX是完全免费的。用户只需要在anomali.com/staxx进行注册,同意许可条款,然后下载安装STAXX软件。
Anomali提供了直观的STIX/TAXII配置向导,轻松配置过后即可开始访问威胁情报。STAXX可部署在VMware或 Virtual Box 虚拟机中。
想部署到原生Linux系统的公司,也可以使用STAXX的Linux安装程序。目前,STAXX尚不能作为容器使用。不过,尼曼则称,需求够多的话,也可以为STAXX打造一个Docker容器。
STAXX发布的头几天,已经可以看到Anomali网站流量比平时水平高了一倍了。
尼曼则说:“我们已经看到了成百上千的注册,随着消息传开,注册量增加的速度还会再加快。”目前为止,用户对STAXX的整体反馈都是正面的,称整个安装和配置过程都很简单且直观。
尼曼则透露,Anomali已经开始为下一个STAXX版本努力,将能提供对大量预配置威胁情报源的即时读取。此外,Anomali计划将其ThreatStream门户的功能和 Anomali Reports 解决方案整合进STAXX。