Laden Sie STIX-Dateien über die REST-API hoch
Mithilfe von Bedrohungssammlungen kann Ihr ExtraHop-System verdächtige IP-Adressen, Hostnamen und URIs identifizieren, die in Ihrer Netzwerkaktivität gefunden wurden. Obwohl von Extrahop kuratierte Bedrohungssammlungen standardmäßig aktiviert sind, können Sie auch eine benutzerdefinierte Bedrohungssammlung aus kostenlosen oder kommerziellen Quellen hochladen.
Before you begin
- Für Sensoren und ECA-VMs benötigen Sie einen gültigen API-Schlüssel, um Änderungen über die REST-API vorzunehmen und die folgenden Verfahren durchzuführen. (siehe Generieren Sie einen API-Schlüssel.)
- Für Reveal (x) 360 benötigen Sie gültige REST-API-Anmeldeinformationen, um Änderungen über die REST-API vorzunehmen und die folgenden Verfahren durchzuführen. (siehe REST-API-Anmeldeinformationen erstellen.)
- Machen Sie sich vertraut mit Bedrohungsinformationen.
Bedrohungssammlungen müssen für alle verbundenen Geräte hinzugefügt und aktualisiert werden Sensoren und Konsolen. Und da diese Quellen oft häufig aktualisiert werden, bietet die REST-API die Möglichkeit, Aktualisierungen für Bedrohungssammlungen für alle zu automatisieren Sensoren und Konsolen.
Benutzerdefinierte Bedrohungssammlungen müssen in Structured Threat Information Expression (STIX) als komprimierte TAR-Dateien wie .TGZ oder TAR.GZ formatiert werden. ExtraHop-Systeme unterstützen derzeit die STIX-Versionen 1.0 - 1.2.
Rufen Sie das Python-Beispielskript ab und führen Sie es aus
Das ExtraHop GitHub-Repository enthält ein Python-Beispielskript, das alle STIX-Dateien in einem bestimmten Verzeichnis in eine Liste von hochlädt Sensoren und Konsolen. Zunächst liest das Skript eine CSV-Datei, die die URLs und API-Schlüssel für jedes System enthält. Für jedes System ruft das Skript eine Liste aller Bedrohungssammlungen ab, die sich bereits auf dem System befinden. Das Skript verarbeitet dann jede STIX im Verzeichnis für jedes System.
Wenn der Name der Datei mit dem Namen einer Bedrohungssammlung auf dem System übereinstimmt, überschreibt das Skript die Bedrohungssammlung mit dem Dateiinhalt. Wenn es keine Namen für die Sammlung von Bedrohungen gibt, die dem Dateinamen entsprechen, lädt das Skript die Datei hoch, um eine neue Bedrohungssammlung zu erstellen.
Hinweis: | Das folgende Verfahren ist nicht mit der Reveal (x) 360 REST-API kompatibel. Informationen zum Hochladen von STIX-Dateien auf Reveal (x) 360 finden Sie unter Rufen Sie das Python-Beispielskript für Reveal (x) 360 ab und führen Sie es aus. |
Rufen Sie das Python-Beispielskript für Reveal (x) 360 ab und führen Sie es aus
Das ExtraHop GitHub-Repository enthält ein Python-Beispielskript, das alle STIX-Dateien in einem bestimmten Verzeichnis auf Reveal (x) 360 hochlädt.
Wenn der Name der Datei mit dem Namen einer Bedrohungssammlung auf Reveal (x) 360 übereinstimmt, überschreibt das Skript die Bedrohungssammlung mit dem Dateiinhalt. Wenn es keine Namen der Bedrohungssammlung gibt, die dem Dateinamen entsprechen, lädt das Skript die Datei hoch, um eine neue Bedrohungssammlung zu erstellen.
Hinweis: | Das folgende Verfahren ist nur mit der Reveal (x) 360-REST-API kompatibel. Informationen zum Hochladen von STIX-Dateien auf Sensoren und ECA-VMs finden Sie unter Rufen Sie das Python-Beispielskript ab und führen Sie es aus. |
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?