Téléchargez des fichiers STIX via l'API REST
Les collectes de menaces permettent à votre système ExtraHop d'identifier les adresses IP, les noms d'hôte et les URI suspects détectés dans le cadre de votre activité réseau. Bien que les collectes de menaces organisées par ExtraHop soient activées par défaut, vous pouvez également télécharger une collecte de menaces personnalisée à partir de sources gratuites ou commerciales.
Before you begin
- Pour les capteurs et les machines virtuelles ECA, vous devez disposer d'une clé API valide pour apporter des modifications via l' API REST et suivre les procédures ci-dessous. (Voir Génération d'une clé d'API).
- Pour Reveal (x) 360, vous devez disposer d'informations d'identification d'API REST valides pour apporter des modifications via l' API REST et suivre les procédures ci-dessous. (Voir Création d'informations d'identification pour l'API REST).
- Familiarisez-vous avec renseignement sur les menaces.
Les collections de menaces doivent être ajoutées et mises à jour pour tous les utilisateurs connectés capteurs et consoles. Et comme ces sources sont souvent mises à jour fréquemment, l'API REST permet d' automatiser les mises à jour des collections de menaces destinées à tous capteurs et consoles.
Les collections de menaces personnalisées doivent être formatées dans STIX (Structured Threat Information Expression) sous forme de fichiers TAR compressés, tels que .TGZ ou TAR.GZ. Les systèmes ExtraHop prennent actuellement en charge le téléchargement des versions 1.0 à 1.2 des fichiers STIX.
Récupérez et exécutez l'exemple de script Python
Le dépôt GitHub d'ExtraHop contient un exemple de script Python qui télécharge tous les fichiers STIX d'un répertoire donné vers une liste de capteurs et consoles. Tout d'abord, le script lit un fichier CSV contenant les URL et les clés d'API de chaque système. Pour chaque système, le script obtient une liste de toutes les collections de menaces déjà présentes sur le système. Le script traite ensuite chaque fichier STIX du répertoire de chaque système.
Si le nom du fichier correspond au nom d'une collection de menaces sur le système, le script remplace la collecte de menaces par le contenu du fichier. Si aucun nom de collecte des menaces ne correspond au nom du fichier, le script télécharge le fichier pour créer une nouvelle collection de menaces.
Remarque : | La procédure suivante n'est pas compatible avec l' API REST Reveal (x) 360. Pour télécharger des fichiers STIX vers Reveal (x) 360, voir Récupérez et exécutez l'exemple de script Python pour Reveal (x) 360. |
Récupérez et exécutez l'exemple de script Python pour Reveal (x) 360
Le référentiel GitHub ExtraHop contient un exemple de script Python qui télécharge tous les fichiers STIX d'un répertoire donné vers Reveal (x) 360.
Si le nom du fichier correspond au nom d'une collection de menaces sur Reveal (x) 360, le script remplace la collecte des menaces par le contenu du fichier. Si aucun nom de collecte des menaces ne correspond au nom du fichier, le script télécharge le fichier pour créer une nouvelle collection de menaces.
Remarque : | La procédure suivante est uniquement compatible avec l'API REST Reveal (x) 360. Pour télécharger des fichiers STIX vers des capteurs et des machines virtuelles ECA, voir Récupérez et exécutez l'exemple de script Python. |
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?