CLIで外部カスタムインテリジェンスフィードをインポートする

外部ソースから脅威指標フィードを直接Security Gatewayにインポートすることができます。初めてフィードをインポートしてポリシーをインストールした後、ファイルが更新されるたびに、Security Gatewayは自動的にインジケータ閉じた 運用中のサイバー領域で観察可能な悪意ある活動のパターン。それをどのように解釈し、どのように対処するかについての関連情報を含みます。ーファイルを取り込み、実施します。Security Gatewayは、HTTPまたはHTTPSでファイルをインポートするか、ローカルのファイルまたはフォルダから読み込むことでインポートする。

重要- 各セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。クラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。メンバで個別にフィードファイルをインポートする必要があります。

カスタム・インテリジェンス・フィードは、STIX閉じた Structured Threat Information eXpression™(構造化脅威情報エクスプレッション)。サイバー脅威情報を標準化および構造化された方法で記述するための言語。 XML(STIX 1.0)ファイル、チェック・ポイント形式のCSVファイル、およびその他の形式のCSVファイルを自動でサポートします。

Check Point CSV 形式とは異なる CSV 形式で Threat Indicator ファイルをインポートする場合は、このセクションで説明する構文ルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。に従ってください。

  • 対応するObservableは以下のとおりです。名前、値、タイプ、信頼度、深刻度、製品、コメント。

  • ファイルのフォーマット、デリミタ、スキップするコメント行を定義します。

    --format を使い、角括弧の中にObservableを指定します。

    オリジナルファイルで無視する内容には、--comment を使用します。

    - --format の角括弧内に指定されたコメントは、元のファイルから取得されます。--comment の角括弧内の内容は無視されます。

  • ValueとTypeのObservableは必須です。

  • Value observableは、オリジナルファイル内の位置に応じて指定されます。#<location_of_item>.

    例:

    CSVの行の3番目にValue observableがある場合、入力してください。

    --format [value:#3]

  • その他のObservableについては、元のファイル内の位置を入力するか、その値を指定します。

    例えば、Type observableの値をCSVの各行で指定されたドメインにしたい場合は、次のように入力します。

    --format [type:domain]

  • フィードのリソースがリモートソース (transport equals HTTP または HTTPS) の場合、フィードを取得するたびに、このフィードに指定された形式に従ってパースされます。

# This list consists of High Level Sensitivity website URLs

# Columns (tab delimited):

# (1) site

#

Site

4kqd3hniqgptupi3p.k7oudl.top

stggsjv6mqiibmax.torshop.li

grrgelpetkavanis4.pv

52ou5k3t73ypjije.ie7t8k.top

ja:many.cu.ma

# This list consists of High Level Sensitivity website URLs

# Columns (tab delimited):

# (1) site

#

Site

4kqd3hniqgptupi3p.k7oudl.top

stggsjv6mqiibmax.torshop.li

grrgelpetkavanis4.pv

52ou5k3t73ypjije.ie7t8k.top

ja:many.cu.ma

このコマンドを入力すると、Security Gatewayはすべての行の最初の場所で指定されたドメインを取り、#Site という単語で始まるものは無視されます。

ioc_feeds add --feed_name domain_list --transport https --resource "https://isc.sans.edu/feeds/suspiciousdomains_High.txt" --format [type:domain,value:1] --comment "#, Site"

# category Descriptive tag name for this entry. For this report,

# the text sshpwauth will appear.

#

# A commented footer section shows an aggregate account of ASNs and

# addresses seen in the current report

#

3 | organization A | 18.30.10.26 | 2018-12-15 08:16:39 | sshpwauth

3 | organization B | 18.30.21.197 | 2018-12-28 17:43:41 | sshpwauth

17 | organization C | 128.46.80.71 | 2019-01-04 17:56:00 | sshpwauth

111| organization D | 128.197.31.119 | 2019-01-10 03:12: 18| sshpwauth

このコマンドを入力すると、Security GatewayはIPアドレスを行の3番目から、コメントを行の2番目から取り、#で始まるすべての内容を無視します。

ioc_feeds add --feed_name ip_list_with_spaces --transport local_file --resource "/home/admin/ioc/ip_list_with_spaces.txt" --format [value:#3,comment:#2,type:ip] --comment [#] --delimiter "|"

カスタムインテリジェンスフィードについて詳しくは、sk132193をご覧ください。