CLIによる脅威インジケーターファイルのインポート
CLIを使用して、Check Point CSV形式やその他のCSV形式、STIX
Structured Threat Information eXpression™(構造化脅威情報エクスプレッション)。サイバー脅威情報を標準化および構造化された方法で記述するための言語。 XML(STIX 1.0)形式のインジケータ 運用中のサイバー領域で観察可能な悪意ある活動のパターン。それをどのように解釈し、どのように対処するかについての関連情報を含みます。・ファイルをアップロードできます。
Feedのリソースは、これらのいずれかになります。
-
URL - HTTP/HTTPS (transport http --resource
http://10.0.0.1/my_feeds/stix_feed.xml)
*自己署名証明書 HTTPS リソースは、バンドルを更新するためにユーザの同意を求めるプロンプトを表示します。を実行することで、証明書の検証を省略することができます。
"export EXT_IOC_NO_SSL_VALIDATION=1" -
ゲートウェイ上のファイル (
--transport local_file --resource "/home/admin/my_feed.csv") -
同じ feed_format を含む、ゲートウェイ上のディレクトリ - (
--transport local_directory --resource "/home/admin/my_feed_folder")
これらのコマンドを使用して、CLI を使用して脅威インジケータファイルをアップロードおよび管理します。
コマンド
|
パラメータ |
説明 |
例 |
|---|---|---|
|
|
プッシュ配信を開始 |
|
|
|
既存のフィードをすべて印刷する |
|
|
|
特定のフィードの詳細を印刷する |
|
|
|
プリント取得間隔 |
|
|
|
取り込み間隔を秒単位で設定 *フィードの取得間隔 - すべてのフィードに同じ |
|
|
|
プリントスキャンモード |
|
|
|
スキャンモードの設定 - オン/オフ |
|
|
|
新しいフィードを追加する 必須項目です。
オプションのフィールドです。
(プロキシフラグを指定しない場合、ゲートウェイプロキシを使用します。)
|
例:
|
|
|
既存のフィードを変更する 言及されていないフィールドは以前のままです |
|
|
|
既存のフィードを削除する |
|
例:
-
新しいリモートフィードを追加する
[Expert@HostName:0]# ioc_feeds add --feed_name remote_csv_feed --transport http --resource "http://10.10.1.100/ioc/ioc_csv_file.csv" --feed_action Prevent -
新しいローカルフィードを追加する
[Expert@HostName:0]# ioc_feeds add --feed_name ioc_stix_file --transport local_file --resource "/home/admin/ioc/ioc_stix_file.xml" -
既存のフィードを印刷する
[Expert@HostName:0]# ioc_feeds show -
フィードを削除する
[Expert@HostName:0]# ioc_feeds delete --feed_name ioc_stix_file -
フィードの取得と解析のテスト
[Expert@HostName:0]# ioc_feeds add --feed_name remote_stix_file --transport http --resource "http://www.public_indicators.com/ioc_stix_file.xml" --test true
