问题
-
利用 ThreatQuotient 获取 ESET 威胁情报馈送数据
解决方案
I.安装集成
-
在 ThreatQ Marketplace 上找到并下载集成文件。
-
导航到 ThreatQ 实例的集成管理页面,然后单击添加新集成。
-
使用以下方法之一上传您在步骤 2 中下载的集成文件:
- 将文件拖放到对话框中。
- 选择 "单击浏览 "在本地计算机上查找集成文件。
-
如果出现提示,请选择要安装的各个源,然后单击 "安装"。信息源将添加到集成页面。
II.配置集成
-
导航至 ThreatQ 中的集成管理页面。
-
从 "类别"下拉菜单中选择 "商业"。
-
单击集成条目打开其详细信息页面。
-
在相应字段中键入 ESET Threat Intelligence 用户名和密码。
-
查看任何其他设置,必要时进行任何更改。单击保存。
-
单击 "附加信息"部分上方的切换以启用它。
III.ThreatQ 映射
所有馈送都访问同一个端点,即ESET Threat Intelligence TAXII 服务。每个源请求特定集合的内容。
馈送会返回一个 STIX 包列表,每个包都包含:
- 指标
- 恶意软件
- 身份
- 返回对象之间的关系
ESET 僵尸网络
ESET Botnet 源连接到ei.botnet(stix2) 集合,并摄取有关 Botnet 网络的数据。它还会检索有关命令与控制 (CnC) 服务器的信息。
ESET 网域
ESET Domain 源连接到ei.domainsv2 (stix2) 集合,并摄取被视为恶意的域。
ESET 恶意文件
ESET 恶意文件馈送连接到ei.maliciousfiles v2 (stix2) 收集,并接收有关被视为恶意的可执行文件的数据。
ESET URL
ESET URL feed 连接到ei.urls(stix2) 集合,并输入被视为恶意的地址。
