課題
-
ThreatQuotient を利用して ESET Threat Intelligence フィードデータを取り込む
解決方法
I.統合をインストールする
-
ThreatQ Marketplace にログインします。
-
ThreatQ Marketplace で、統合ファイルを探してダウンロードします。
-
ThreatQ インスタンスの統合管理ページに移動し、Add New Integration をクリックします。
-
以下のいずれかの方法で、ステップ 2 でダウンロードした統合ファイルをアップロードします:
- ファイルをダイアログボックスにドラッグ&ドロップします。
- Click to Browseを選択して、ローカルマシンに統合ファイルを配置します。
-
プロンプトが表示されたら、インストールする個々のフィードを選択し、インストールをクリックします。統合ページにフィードが追加されます。
II.統合の設定
-
ThreatQの統合管理ページに移動します。
-
オプションで、カテゴリドロップダウンメニューから 商用を選択します。
-
統合エントリをクリックして、詳細ページを開きます。
-
それぞれのフィールドに、ESET Threat Intelligence のユーザー名とパスワードを入力します。
-
その他の設定を確認し、必要に応じて変更します。保存] をクリックします。
-
追加情報]セクションの上のトグルをクリックして有効にします。
III.ThreatQ マッピング
すべてのフィードは同じエンドポイント、ESET Threat Intelligence TAXII サービスにアクセスします。各フィードは特定のコレクションのコンテンツを要求します。
フィードはSTIXバンドルのリストを返します:
- インジケータ
- マルウェア
- ID
- 返されるオブジェクト間の関係
ESETボットネット
ESETボットネットフィードは、ei.botnet(stix2)コレクションに接続し、ボットネットネットワークに関するデータを取り込みます。また、コマンド&コントロール(CnC)サーバーに関する情報も取得します。
ESETドメイン
ESET Domainフィードは、ei.domainv2 (stix2)コレクションに接続し、悪質と考えられるドメインを取り込みます。
ESET悪意のあるファイル
ESET Malicious Filesフィードは、ei.maliciousfiles v2 (stix2)コレクションに接続し、悪意のある実行可能ファイルに関するデータを取り込みます。
ESET URL
ESET URLフィードは、ei.urls(stix2)コレクションに接続し、悪意があると考えられるアドレスを取り込みます。
