OpenIOC-Objekte zur Liste „Benutzerdefinierte verdächtige Objekte“ hinzufügen

Ansichten:

Sie können Ihr Netzwerk vor Objekten schützen, die noch nicht in Ihrem Netzwerk identifiziert wurden, indem Sie korrekt formatierte OpenIOC-Dateien (*.ioc) importieren und verdächtige Datei-SHA-1, IP-Adresse, URL und Domain-Objekte in die benutzerdefinierte Liste verdächtiger Objekte extrahieren. Beim Hochladen einer Datei können Sie die Suchaktion angeben, die von unterstützten Trend Micro-Produkten nach dem Erkennen der verdächtigen Objekte durchgeführt wird.

Weitere Informationen zum manuellen Hinzufügen verdächtiger Objekte direkt zur benutzerdefinierten Liste verdächtiger Objekte finden Sie unter Objekte zur Liste „Benutzerdefinierte verdächtige Objekte“ hinzufügen.

Wichtig

Trend Micro Apex Central unterstützt nur OpenIOC 1.0.

Hinweis

Standardmäßig extrahiert Trend Micro Apex Central automatisch verdächtige Objekte in die benutzerdefinierte Liste verdächtiger Objekte, wenn der OpenIOC-Datei-Upload abgeschlossen ist.

Alternativ können Sie wählen, die OpenIOC-Datei zuerst hochzuladen und dann manuell verdächtige Objekte zu extrahieren, nachdem der Datei-Upload abgeschlossen ist.

Prozedur

Navigieren Sie zu Bedrohungs-Intelligence → Benutzerdefinierte Intelligence.

Das Fenster Benutzerdefinierte Intelligence wird angezeigt.
Klicken Sie auf die Registerkarte OpenIOC.

Die Liste der OpenIOC-Dateien wird angezeigt.
(Optional) Verwenden Sie zum Filtern der in der Liste angezeigten Dateien das Suchfeld und geben Sie eine vollständige oder teilweise Zeichenfolge ein, die in den Spalten Dateiname, Kurzbeschreibung oder Quelle hinzugefügt von enthalten ist.
Klicken Sie auf Hinzufügen.

Das Fenster OpenIOC-Dateien hinzufügen wird angezeigt.

Wählen Sie OpenIOC-Dateien (*.ioc) zum Hochladen aus.

Klicken Sie auf Dateien auswählen....

Wählen Sie eine oder mehrere Dateien zum Hochladen aus.

Hinweis

Die maximale Dateigröße für jede Datei beträgt 10 MB.
Die Gesamtzahl der gleichzeitig hochgeladenen Dateien darf 200 Dateien nicht überschreiten.
Die maximale Anzahl an Objekten für jeden verdächtigen Objekttyp in der Liste „Benutzerdefinierte verdächtige Objekte“ darf 10.000 Objekte pro Typ nicht überschreiten.

Die Extraktionsaufgabe für einen verdächtigen Objekttyp schlägt fehl, wenn die maximale Anzahl an Objekten für diesen Objekttyp erreicht ist.

Klicken Sie auf Öffnen.

(Optional) Klicken Sie auf Erweiterte Einstellungen, um die folgenden Einstellungen zu konfigurieren.

Um die Datei hochzuladen, ohne die verdächtigen Objekte automatisch zu extrahieren, deaktivieren Sie das Kontrollkästchen SHA-1, IP-Adresse, URL und Domänenobjekte in die Liste der benutzerdefinierten verdächtigen Objekte extrahieren.

Hinweis

Wenn Sie die automatische Extraktion beim Hochladen von Dateien deaktivieren, können Sie Objekte nach Abschluss des Datei-Uploads weiterhin manuell extrahieren.

Geben Sie Suchaktionen für unterstützte Produkte an, die nach der Erkennung des Objekts ausgeführt werden sollen.

Hinweis

Sie können auch Suchaktionen für verdächtige Objekte in der Liste „Benutzerdefinierte verdächtige Objekte“ konfigurieren.

Weitere Informationen finden Sie unter Suchaktionen für verdächtige Objekte.

Klicken Sie auf Hinzufügen.

Tipp

Führen Sie zum Nachverfolgen des Status des Datei-Uploads eine Protokollabfrage mit Hilfe des Protokolltyps Benutzerzugriff durch.

Weitere Informationen finden Sie unter Protokollabfrage.
Verwenden Sie zum Nachverfolgen des Extraktionsstatus des verdächtigen Objekts das Fenster Befehlsnachverfolgung.

Weitere Informationen finden Sie unter Befehlsnachverfolgung.

Trend Micro Apex Central lädt die ausgewählten OpenIOC-Dateien in die OpenIOC-Dateiliste hoch.

Hinweis

Wenn die Standardeinstellungen ausgewählt sind, extrahiert Trend Micro Apex Central automatisch verdächtige Objekte in die benutzerdefinierte Liste verdächtiger Objekte.
Die Extrahierte Objekte-Spalte in der OpenIOC-Dateiliste zeigt N/V für die folgenden Szenarien an:
- Sie haben die OpenIOC-Datei hochgeladen, ohne die verdächtigen Objekte automatisch zu extrahieren.
- Trend Micro Apex Central konnte keine verdächtigen Objekte aus der OpenIOC-Datei extrahieren.

Um verdächtige Objekte manuell aus einer hochgeladenen OpenIOC-Datei zu extrahieren:

Aktivieren Sie das Kontrollkästchen neben dem Dateiname der hochgeladenen Datei.

Klicken Sie auf Extrahieren.

Die Extrahierte Objekte-Spalte zeigt die Anzahl der verdächtigen Objekte aus der OpenIOC-Datei in der benutzerdefinierten Liste verdächtiger Objekte an.

Um eine Kopie einer bestimmten Datei herunterzuladen, klicken Sie auf den Link in der Spalte Dateiname.
Verwenden Sie zum Nachverfolgen des Extraktionsstatus der Datei das Fenster Befehlsnachverfolgung.

Weitere Informationen finden Sie unter Befehlsnachverfolgung.
Um die extrahierten verdächtigen Objekte in einer gefilterten Ansicht der benutzerdefinierten Liste verdächtiger Objekte anzuzeigen, klicken Sie auf die Anzahl in der Spalte Extrahierte Objekte.

Um Dateien zu löschen, aktivieren Sie das Kontrollkästchen neben dem Dateiname von mindestens einer Datei und klicken Sie auf Löschen.

Hinweis

Das Löschen einer Datei entfernt die extrahierten verdächtigen Objekte nicht aus der benutzerdefinierten Liste verdächtiger Objekte.
Sie können eine Datei nicht löschen, bis Trend Micro Apex Central das Extrahieren verdächtiger Objekte aus der Datei abgeschlossen hat.