Téléchargez des fichiers STIX via l'API REST
Les collectes de menaces permettent à votre système ExtraHop d'identifier les adresses IP, les noms d'hôte et les URI suspects détectés dans le cadre de votre activité réseau. Bien que les collectes de menaces organisées par ExtraHop soient activées par défaut, vous pouvez également télécharger une collecte de menaces personnalisée à partir de sources gratuites ou commerciales.
Before you begin
- Pour les capteurs et les machines virtuelles ECA, vous devez disposer d'une clé API valide pour apporter des modifications via l' API REST et suivre les procédures ci-dessous. (Voir Générer une clé API).
- Pour RevealX 360, vous devez disposer d'informations d'identification d'API REST valides pour apporter des modifications via l' API REST et suivre les procédures ci-dessous. (Voir Création d'informations d'identification pour l'API REST).
- Familiarisez-vous avec renseignement sur les menaces.
Les collections de menaces doivent être ajoutées et mises à jour pour tous les utilisateurs connectés capteurs et consoles. Et comme ces sources sont souvent mises à jour fréquemment, l'API REST permet d' automatiser les mises à jour des collections de menaces destinées à tous capteurs et consoles.
Les collections de menaces personnalisées doivent être formatées dans STIX (Structured Threat Information Expression) sous forme de fichiers TAR compressés, tels que .TGZ ou TAR.GZ. Les systèmes ExtraHop prennent actuellement en charge le téléchargement des versions 1.0 à 1.2 des fichiers STIX.
Récupérez et exécutez l'exemple de script Python
Le référentiel GitHub ExtraHop contient un exemple de script Python qui télécharge tous les fichiers STIX d'un répertoire donné vers une liste de capteurs et consoles. Tout d'abord, le script lit un fichier CSV contenant les URL et les clés d'API de chaque système. Pour chaque système, le script obtient une liste de toutes les collections de menaces déjà présentes sur le système. Le script traite ensuite chaque fichier STIX du répertoire de chaque système.
Si le nom du fichier correspond au nom d'une collection de menaces sur le système, le script remplace la collecte des menaces par le contenu du fichier. Si aucun nom de collecte des menaces ne correspond au nom du fichier, le script télécharge le fichier pour créer une nouvelle collection de menaces.
Remarque : | La procédure suivante n'est pas compatible avec l'API REST RevealX 360 . Pour télécharger des fichiers STIX sur RevealX 360, voir Récupérez et exécutez l'exemple de script Python pour RevealX 360. |
Récupérez et exécutez l'exemple de script Python pour RevealX 360
Le référentiel GitHub ExtraHop contient un exemple de script Python qui télécharge tous les fichiers STIX d'un répertoire donné vers RevealX 360.
Si le nom du fichier correspond au nom d'une collection de menaces sur RevealX 360, le script remplace la collecte des menaces par le contenu du fichier. Si aucun nom de collecte des menaces ne correspond au nom du fichier, le script télécharge le fichier pour créer une nouvelle collection de menaces.
Remarque : | La procédure suivante est uniquement compatible avec l'API REST RevealX 360. Pour télécharger des fichiers STIX vers des capteurs et des machines virtuelles ECA, voir Récupérez et exécutez l'exemple de script Python. |
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?