[KB8507] ESET Threat Intelligence med ThreatQuotient

BEMÆRK:

Denne side er blevet oversat af en computer. Klik på engelsk under Sprog på denne side for at få vist den originale tekst. Hvis du finder noget uklart, bedes du kontakte din lokale support.

Problem

  • Brug ThreatQuotient til at indlæse ESET Threat Intelligence-feeddata

Løsning

  1. Installer integrationen
  2. Konfigurer integrationen
  3. Kortlægning af ThreatQ

I. Installer integrationen

  1. Log ind på ThreatQ Marketplace.

  2. Find og download integrationsfilen på ThreatQ Marketplace.

  3. Naviger til administrationssiden for integrationer i din ThreatQ-forekomst, og klik på Tilføj ny integration.

  4. Upload den integrationsfil, du downloadede i trin 2, ved hjælp af en af følgende metoder:

    • Træk og slip filen i dialogboksen.
    • Vælg Klik for at gennemse for at finde integrationsfilen på din lokale maskine.
    Feeds

    ThreatQ informerer dig, hvis feedet allerede findes på platformen, og kræver brugerens bekræftelse, før du fortsætter. ThreatQ informerer dig også, hvis den nye version af feedet indeholder ændringer i brugerkonfigurationen. De nye brugerkonfigurationer overskriver de eksisterende for feedet og kræver brugerbekræftelse, før du fortsætter.

  5. Hvis du bliver bedt om det, skal du vælge de enkelte feeds, der skal installeres, og klikke på Installer. Feedet bliver føjet til integrationssiden.

II. Konfigurer integrationen

API-nøgler til tredjepartsleverandører

ThreatQuotient udsteder ikke API-nøgler til tredjepartsleverandører. Kontakt den specifikke leverandør for at få API-nøgler og andre integrationsrelaterede legitimationsoplysninger.

  1. Naviger til din integrationsadministrationsside i ThreatQ.

  2. Vælg eventuelt Kommerciel i rullemenuen Kategori.

    Førstegangsinstallation

    Hvis du installerer integrationen for første gang, vil integrationen være placeret under fanen Deaktiveret.

  3. Klik på integrationsposten for at åbne siden med detaljer.

  4. Indtast dit ESET Threat Intelligence-brugernavn og din adgangskode i de respektive felter.

  5. Gennemgå eventuelle yderligere indstillinger, og foretag ændringer, hvis det er nødvendigt. Klik på Gem.

  6. Klik på vippeknappen over afsnittet Yderligere oplysninger for at aktivere det.

III. ThreatQ-kortlægning

Alle feeds har adgang til det samme slutpunkt, ESET Threat Intelligence TAXII-tjenesten. Hvert feed anmoder om indholdet af en specifik samling.

Feeds'ene returnerer en liste over STIX-bundter, som hver især indeholder:

  • Indikatorer
  • Malware
  • Identiteter
  • Relationerne mellem de returnerede objekter
JSON-data

De returnerede JSON-data er en liste over kvalificerede STIX-bundter, der sendes til ThreatQ's STIX-parser.

ESET Botnet

ESET Botnet-feed opretter forbindelse til ei.botnet (stix2)-samlingen og indlæser data om Botnet-netværket. Det henter også oplysninger om Command and Control (CnC)-servere.

ESET-domæne

ESET Domain feed opretter forbindelse til ei.domains v2 (stix2)-samlingen og indlæser domæner, der anses for at være ondsindede.

ESET Ondsindede filer

ESET Malicious Files feed opretter forbindelse til ei.malicious files v2 (stix2) collection og indlæser data om eksekverbare filer, der anses for at være ondsindede.

ESET URL

ESET URL-feed opretter forbindelse til samlingen ei.urls (stix2) og indlæser adresser, der anses for at være ondsindede.

Forskel mellem URL- og domænefeeds

ESET URL-feed adskiller sig fra ESET Domain-feed baseret på de anvendte ESET-filtreringsindstillinger.

Hvis der f.eks. er objekter, der kun er blokeret på URL-niveau og ikke på domæneniveau, vil ESET Domain feed ikke returnere disse objekter.

Senest opdateret: Apr 8, 2025

Yderligere ressourcer

Brugervejledninger

ESET-forum

YouTube-videoer
ESET Status Portal ESET Technical Support

Eksisterende kunde?