Gérez les collections de menaces
Before you begin
- En savoir plus sur renseignements sur les menaces.
- Tu dois avoir Privilèges d'administration du système et des accès sur chaque console et sonde pour gérer les collections de menaces.
- Si votre déploiement ExtraHop inclut une console, nous vous recommandons de gestion des transferts de tous les capteurs connectés à la console pour activer ou désactiver les collectes de menaces intégrées sur l'ensemble de votre système.
Activer ou désactiver les collections de menaces intégrées
Les collections de menaces intégrées d'ExtraHop et de CrowdStrike identifient les indicateurs de compromission dans l'ensemble du système.
Importer une collecte des menaces
Téléchargez des collections de menaces provenant de sources gratuites et commerciales pour identifier les indicateurs de compromission dans l'ensemble du système ExtraHop. Étant donné que les données relatives aux renseignements sur les menaces sont mises à jour fréquemment (parfois quotidiennement), il se peut que vous deviez mettre à jour une collecte des menaces avec les données les plus récentes. Lorsque vous mettez à jour une collecte des menaces avec de nouvelles données, la collection est supprimée et remplacée, et n'est pas ajoutée à une collection existante.
Voici quelques considérations concernant le téléchargement de collections de menaces.
- Les collections de menaces personnalisées doivent être formatées dans STIX (Structured Threat Information Expression) sous forme de fichiers TAR compressés, tels que .TGZ ou TAR.GZ. Reveal (x) prend actuellement en charge les versions 1.0 à 1.2 de STIX.
- Vous pouvez télécharger directement des collections de menaces sur Reveal (x) 360 pour une gestion autonome capteurs. Contactez le support ExtraHop pour télécharger une collecte des menaces vers ExtraHop Managed capteurs.
- Le nombre maximum d'observables qu'une collecte des menaces peut contenir dépend de la mémoire et de la licence de votre sonde. Pour garantir la réussite des téléchargements dans les limites de vos capteurs et de votre licence, nous vous recommandons de diviser les collections en fichiers de moins de 3 000 observables, avec une taille totale de collection inférieure à 1 million d'observables. Contactez votre représentant ExtraHop pour plus d'informations sur les limites de licence et de plate-forme pour le téléchargement de collections de menaces.
- Tu peux télécharger des fichiers STIX via l'API REST .
- Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
- Cliquez sur l'icône Paramètres système puis cliquez sur Renseignements sur les menaces.
- Cliquez Gérer les collections personnalisées.
- Cliquez Télécharger une nouvelle collection.
- Dans le champ ID de collection, saisissez un identifiant de collection unique. L'identifiant ne peut contenir que des caractères alphanumériques et les espaces ne sont pas autorisés.
- Cliquez Choisissez un fichier et sélectionnez un .tgz fichier contenant un fichier STIX.
- Tapez un nom d'affichage dans le champ Nom d'affichage.
- Cliquez Collection de téléchargements.
- Répétez ces étapes pour chaque connexion sonde et sur tous consoles.
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?