Laden Sie STIX-Dateien über die REST-API hoch
Mithilfe von Bedrohungssammlungen kann Ihr ExtraHop-System verdächtige IP-Adressen, Hostnamen und URIs identifizieren, die in Ihrer Netzwerkaktivität gefunden wurden. Obwohl von Extrahop kuratierte Bedrohungssammlungen standardmäßig aktiviert sind, können Sie auch eine benutzerdefinierte Bedrohungssammlung aus kostenlosen oder kommerziellen Quellen hochladen.
Before you begin
- Für RevealX 360 benötigen Sie gültige REST-API-Anmeldeinformationen, um Änderungen über die REST-API vorzunehmen und die folgenden Verfahren durchzuführen. (siehe REST-API-Anmeldeinformationen erstellen.)
- Für Sensoren und ECA-VMs benötigen Sie einen gültigen API-Schlüssel, um Änderungen über die REST-API vorzunehmen und die folgenden Verfahren durchzuführen. (siehe Generieren Sie einen API-Schlüssel.)
- Machen Sie sich vertraut mit Bedrohungsinformationen.
Bedrohungssammlungen müssen für alle verbundenen Geräte hinzugefügt und aktualisiert werden Sensoren und Konsolen. Und da diese Quellen häufig aktualisiert werden, bietet die REST-API die Möglichkeit, Aktualisierungen für Bedrohungssammlungen für alle zu automatisieren. Sensoren und Konsolen.
Benutzerdefinierte Bedrohungssammlungen müssen in Structured Threat Information Expression (STIX) als komprimierte TAR-Dateien wie .TGZ oder TAR.GZ formatiert werden. ExtraHop-Systeme unterstützen derzeit das Hochladen der STIX-Dateiversionen 1.0 - 1.2.
Rufen Sie das Python-Beispielskript ab und führen Sie es aus
Das ExtraHop GitHub-Repository enthält ein Beispiel-Python-Skript, das alle STIX-Dateien in einem bestimmten Verzeichnis in eine Liste von hochlädt Sensoren und Konsolen. Zunächst liest das Skript eine CSV-Datei durch, die die URLs und API-Schlüssel für jedes System enthält. Für jedes System ruft das Skript eine Liste aller Bedrohungssammlungen ab, die sich bereits auf dem System befinden. Das Skript verarbeitet dann jede STIX im Verzeichnis für jedes System.
Wenn der Name der Datei mit dem Namen einer Bedrohungssammlung auf dem System übereinstimmt, überschreibt das Skript die Bedrohungssammlung mit dem Dateiinhalt. Wenn es keine Namen der Bedrohungssammlung gibt, die dem Dateinamen entsprechen, lädt das Skript die Datei hoch, um eine neue Bedrohungssammlung zu erstellen.
Hinweis: | Das folgende Verfahren ist nicht mit der RevealX 360-REST-API kompatibel. Informationen zum Hochladen von STIX-Dateien auf RevealX 360 finden Sie unter Rufen Sie das Python-Beispielskript für RevealX 360 ab und führen Sie es aus. |
Rufen Sie das Python-Beispielskript für RevealX 360 ab und führen Sie es aus
Das ExtraHop GitHub-Repository enthält ein Python-Skript, das alle STIX-Dateien in einem bestimmten Verzeichnis auf RevealX 360 hochlädt.
Wenn der Name der Datei mit dem Namen einer Bedrohungssammlung auf RevealX 360 übereinstimmt, überschreibt das Skript die Bedrohungssammlung mit dem Dateiinhalt. Wenn es keine Namen der Bedrohungssammlung gibt, die dem Dateinamen entsprechen, lädt das Skript die Datei hoch, um eine neue Bedrohungssammlung zu erstellen.
Hinweis: | Das folgende Verfahren ist nur mit der RevealX 360 REST-API kompatibel. Informationen zum Hochladen von STIX-Dateien auf Sensoren und ECA-VMs finden Sie unter Rufen Sie das Python-Beispielskript ab und führen Sie es aus. |
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?