Lancer la Démo

Téléchargez des fichiers STIX via l'API REST

Les collectes de menaces permettent à votre système ExtraHop d'identifier les adresses IP, les noms d'hôte et les URI suspects détectés dans le cadre de votre activité réseau. Bien que les collectes de menaces organisées par ExtraHop soient activées par défaut, vous pouvez également télécharger une collecte de menaces personnalisée à partir de sources gratuites ou commerciales.

Before you begin

Les collections de menaces doivent être ajoutées et mises à jour pour tous les utilisateurs connectés capteurs et consoles. Et comme ces sources sont souvent mises à jour fréquemment, l'API REST permet d' automatiser les mises à jour des collections de menaces destinées à tous capteurs et consoles.

Les collections de menaces personnalisées doivent être formatées dans STIX (Structured Threat Information Expression) sous forme de fichiers TAR compressés, tels que .TGZ ou TAR.GZ. Les systèmes ExtraHop prennent actuellement en charge le téléchargement des versions 1.0 à 1.2 des fichiers STIX.

Récupérez et exécutez l'exemple de script Python

Le référentiel GitHub ExtraHop contient un exemple de script Python qui télécharge tous les fichiers STIX d'un répertoire donné vers une liste de capteurs et consoles. Tout d'abord, le script lit un fichier CSV contenant les URL et les clés d'API de chaque système. Pour chaque système, le script obtient une liste de toutes les collections de menaces déjà présentes sur le système. Le script traite ensuite chaque fichier STIX du répertoire de chaque système.

Si le nom du fichier correspond au nom d'une collection de menaces sur le système, le script remplace la collecte des menaces par le contenu du fichier. Si aucun nom de collecte des menaces ne correspond au nom du fichier, le script télécharge le fichier pour créer une nouvelle collection de menaces.

Remarque :La procédure suivante n'est pas compatible avec l'API REST RevealX 360 . Pour télécharger des fichiers STIX sur RevealX 360, voir Récupérez et exécutez l'exemple de script Python pour RevealX 360.
  1. Accédez au Référentiel GitHub d'exemples de code ExtraHop et téléchargez le upload_stix/upload_stix.py fichier sur votre machine locale.
  2. Créez un fichier CSV avec des lignes contenant les colonnes suivantes dans l' ordre indiqué :
    Nom d'hôte du système Clé API
    Conseil :Le upload_stix le répertoire contient un exemple de fichier CSV nommé systems.csv.
  3. Dans un éditeur de texte, ouvrez upload_stix.py archivez et remplacez les variables de configuration suivantes par des informations provenant de votre environnement :

    LISTE_SYSTÈME: Le chemin du fichier CSV contenant les URL HTTPS et les clés d'API des systèmes

    STIX_DIR: Le chemin du répertoire contenant les fichiers STIX

  4. Exécutez la commande suivante : 
    python3 upload_stix.py
    Remarque :Si le script renvoie un message d'erreur indiquant que la vérification du certificat TLS a échoué, assurez-vous que un certificat fiable a été ajouté à votre sonde ou à votre console. Vous pouvez également ajouter verify=False option permettant de contourner la vérification des certificats. Cependant, cette méthode n'est pas sûre et n'est pas recommandée. Le code suivant envoie une requête HTTP GET sans vérification du certificat :
    requests.get(url, headers=headers, verify=False)

Récupérez et exécutez l'exemple de script Python pour RevealX 360

Le référentiel GitHub ExtraHop contient un exemple de script Python qui télécharge tous les fichiers STIX d'un répertoire donné vers RevealX 360.

Si le nom du fichier correspond au nom d'une collection de menaces sur RevealX 360, le script remplace la collecte des menaces par le contenu du fichier. Si aucun nom de collecte des menaces ne correspond au nom du fichier, le script télécharge le fichier pour créer une nouvelle collection de menaces.

Remarque :La procédure suivante est uniquement compatible avec l'API REST RevealX 360. Pour télécharger des fichiers STIX vers des capteurs et des machines virtuelles ECA, voir Récupérez et exécutez l'exemple de script Python.
  1. Accédez au Référentiel GitHub d'exemples de code ExtraHop et téléchargez le upload_stix/upload_stix_rx360.py fichier sur votre machine locale.
  2. Dans un éditeur de texte, ouvrez le create_device_groups.py archivez et remplacez les variables de configuration suivantes par des informations provenant de votre environnement :

    HÔTE: Le nom d'hôte de l'API RevealX 360. Ce nom d'hôte est affiché sur la page d'accès à l'API RevealX 360 sous API Endpoint. Le nom d'hôte n'inclut pas /oauth2/token.

    IDENTIFIANT: L'ID des informations d'identification de l'API REST RevealX 360.

    SECRET: Le secret des informations d'identification de l'API REST RevealX 360.

    STIX_DIR: Le chemin du répertoire contenant les fichiers STIX

  3. Exécutez la commande suivante : 
    python3 upload_stix_rx360.py
Last modified 2024-09-26