IOCs importieren und exportieren

Gilt für: WatchGuard Advanced EPDR

In der Galerie der Kompromittierungsindikatoren können Sie IOCs importieren und IOCs exportieren.

IOCs importieren

Kompatible Importdateien sind Dateien im STIX-, YARA- oder kommagetrennten CSV-Format. Sie können keinen IOC importieren, der dieselbe ID aufweist wie ein weiterer IOC, der Teil der laufenden Suchaufgabe ist. Die ID ist in der STIX-Datei enthalten. Informationen zum Öffnen und Überprüfen einer STIX-Datei finden Sie unter Ursprüngliche STIX-Datei anzeigen.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Nach Kompromittierungsindikatoren suchen und verwalten haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

Um einen IOC zu importieren:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Einstellungen.
  3. Wählen Sie Galerie der Kompromittierungsindikatoren.
  4. Klicken Sie in der oberen, rechten Ecke der Seite auf Importieren.
    Das Dialogfeld Importieren wird geöffnet.
  5. Klicken Sie auf Datei auswählen.
  6. Wählen Sie eine Datei aus.
    Kompatible Dateien sind Dateien im STIX-, YARA- oder kommagetrennten CSV-Format.
  7. Klicken Sie auf Importieren.
  8. Falls ein IOC in der Importdatei bereits vorhanden ist, wählen Sie:
    • Ersetzen — Ersetzt den vorhandenen IOC durch einen neuen.
    • Ignorieren — Ignoriert den neuen IOC und behält den vorhandenen.

Wenn Sie IOCs importieren, müssen Sie die Suchanweisung prüfen und genehmigen, bevor eine Suchaufgabe den IOC verwenden kann. IOCs, die eine Genehmigung erfordern, werden als STIX (Genehmigung ausstehend) angezeigt. Weitere Informationen finden Sie unter IOCs verwalten.

Um Elemente in der IOC-Liste zu filtern, verwenden Sie die Suchleiste in der Galerie der Kompromittierungsindikatoren. Geben Sie Name oder Beschreibung eines IOC ein, um nur Elemente aus der Liste anzuzeigen, die die Suchkriterien erfüllen.

IOCs exportieren

Sie können einen oder mehrere IOCs aus der Galerie der Kompromittierungsindikatoren als JSON-Datei exportieren.

Um einen einzelnen IOC zu exportieren:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Einstellungen.
  3. Wählen Sie Galerie der Kompromittierungsindikatoren.
  4. In der Zeile des IOC, den Sie exportieren wollen, klicken Sie auf Das Optionen-Symbol. und wählen Exportieren.
    Eine JSON-Datei mit der IOC-Definition wird auf Ihren Computer heruntergeladen.

Um mehrere IOCs zu exportieren:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Einstellungen.
  3. Wählen Sie Galerie der Kompromittierungsindikatoren.
  4. Aktivieren Sie das Kontrollkästchen für jeden IOC, den Sie exportieren wollen.
  5. Klicken Sie in der Symbolleiste auf Das Exportieren-Symbol. Exportieren.
    Eine JSON-Datei mit den IOC-Definitionen wird auf Ihren Computer heruntergeladen.

Ähnliche Themen

Kompromittierungsindikatoren (IOCs) in WatchGuard Advanced EPDR

Über die Galerie der Kompromittierungsindikatoren

IOCs verwalten

IOC-Suchaufgaben erstellen