Gérez les collections de menaces
Before you begin
- En savoir plus sur renseignements sur les menaces.
- Tu dois avoir Privilèges d'administration du système et des accès sur chaque console et sonde pour gérer les collections de menaces.
- Si votre déploiement ExtraHop inclut une console, nous vous recommandons gestion des transferts de tous les capteurs connectés à la console pour activer ou désactiver les collectes de menaces intégrées sur l'ensemble de votre système.
Activer ou désactiver les collections de menaces intégrées
Les collections de menaces intégrées d'ExtraHop et de CrowdStrike identifient les indicateurs de compromission dans l'ensemble du système.
Téléchargez une collecte des menaces
Téléchargez des collections de menaces provenant de sources gratuites et commerciales pour identifier les indicateurs de compromission dans l'ensemble du système ExtraHop. Étant donné que les données relatives aux renseignements sur les menaces sont mises à jour fréquemment (parfois quotidiennement), il se peut que vous deviez mettre à jour une collecte des menaces avec les données les plus récentes. Lorsque vous mettez à jour une collecte des menaces avec de nouvelles données, la collection est supprimée et remplacée, et n'est pas ajoutée à une collection existante.
Voici quelques considérations concernant le téléchargement de collections de menaces.
- Les collections de menaces personnalisées doivent être formatées dans STIX (Structured Threat Information Expression) sous forme de fichiers TAR compressés, tels que .TGZ ou TAR.GZ. RevealX prend actuellement en charge le téléchargement des versions 1.0 à 1.2 des fichiers STIX.
- Vous pouvez télécharger directement des collections de menaces sur RevealX 360 pour une gestion autonome capteurs. Contactez le support ExtraHop pour télécharger une collecte des menaces vers ExtraHop Managed capteurs.
- Le nombre maximum d'observables qu'une collecte des menaces peut contenir dépend de la mémoire et de la licence de votre sonde. Pour garantir la réussite des téléchargements dans les limites de vos capteurs et de votre licence, nous vous recommandons de diviser les collections en fichiers de moins de 3 000 observables, avec une taille totale de collection inférieure à 1 million d'observables. Contactez votre représentant ExtraHop pour plus d'informations sur les limites de licence et de plate-forme pour le téléchargement de collections de menaces.
- Tu peux télécharger des fichiers STIX via l'API REST .
- Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
- Cliquez sur l'icône Paramètres système puis cliquez sur Renseignements sur les menaces.
- Cliquez Gérer les collections personnalisées.
- Cliquez Télécharger une nouvelle collection.
- Dans le champ ID de collection, saisissez un identifiant de collection unique. L'identifiant ne peut contenir que des caractères alphanumériques et les espaces ne sont pas autorisés.
- Cliquez Choisissez un fichier et sélectionnez un .tgz fichier contenant un fichier STIX.
- Tapez un nom d'affichage dans le champ Nom d'affichage.
- Cliquez Collection de téléchargements.
- Répétez ces étapes pour tous consoles et chacun connecté sonde.
Ajouter un flux TAXII
Les collections de menaces peuvent être transmises à votre environnement via le protocole TAXII (Trusted Automated Exchange of Intelligence Information).
Les flux TAXII peuvent varier en termes de qualité ou de pertinence par rapport à votre environnement. Pour maintenir la précision et réduire le bruit, nous vous recommandons de n'ajouter que des flux provenant de sources fiables fournissant des renseignements sur les menaces de haute qualité.
Before you begin
- Les indicateurs de flux TAXII sont traités par ExtraHop Cloud Services. Le système ExtraHop doit être connecté à ExtraHop Cloud Services pour ajouter un flux TAXII.
- Les flux TAXII ne peuvent être gérés depuis une console que par les utilisateurs disposant de l'accès et de l'administration du module NDR privilèges.
- Les indicateurs d'alimentation TAXII ne sont fournis qu'aux capteurs connectés exécutant les versions 9.6.0 et ultérieures du firmware.
- RevealX prend actuellement en charge les flux TAXII pour les versions 2.0 à 2.1 de TAXII qui contiennent des versions de fichiers STIX 2.0 à 2.1
Les informations de configuration du flux TAXII s'affichent dans la section Fil TAXII de la page Threat
Intelligence, y compris la période de référence spécifiée, la fréquence d'interrogation et le nombre
total d'indicateurs contenus dans le flux. Le tableau des collections TAXII
contient des informations sur les différentes collections du flux.
- Le temps nécessaire pour interroger les indicateurs d'alimentation et de traitement TAXII est basé sur le nombre d'indicateurs contenus dans le flux. À titre de référence, l'interrogation d'un flux contenant 500 000 indicateurs au cours de la période de référence spécifiée peut prendre une heure ou plus.
- Les types d'indicateurs qui ne sont pas reconnus par le système ExtraHop, les indicateurs de point de terminaison bénins et les indicateurs marqués comme révoqués seront supprimés du flux lors du sondage.
- Dans le tableau des collections TAXII, l'état de la collecte sera affiché par un tiret (-) jusqu'à ce que la collection soit à jour. Si ce statut ne passe pas à jour, testez votre connexion au serveur TAXII, puis vérifiez auprès de votre fournisseur de flux TAXII que la collection existe toujours dans le flux, que vos informations dcidentification autorisent l'accès à la collection et que vous n' avez pas dépassé les limites de sondage définies par le fournisseur. Un état de mise à jour partielle s'affiche si une collection n'est pas complètement mise à jour pendant le sondage. Des mises à jour partielles peuvent se produire si le sondage a été interrompu de façon inattendue ou si la limite de débit d'un fournisseur a été atteinte.
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?