Importar y exportar IOCs

Durante la ejecución de una tarea no se podrá importar un IOC con el mismo Identificador que otro en uso, sin importar el estado en el que se encuentre la tarea. Al intentarlo se mostrará un mensaje de error.

Importar un IOC

Para importar un IOC sigue los pasos mostrados a continuación:

  • Haz clic en el icono situado en la esquina superior derecha. Se mostrará la ventana de importación.

  • Haz clic en Seleccionar archivo y elige un fichero compatible con STIX, YARA o valores separados por comas.

  • Haz clic en el botón Importar. El nuevo IOC se mostrará en la galería de IOCs.

  • En el caso de que el IOC ya exista se preguntará que hacer:

    • Reemplazar: actualiza el IOC existente con la nueva información.

    • Ignorar: descarta la nueva información conservando el IOC existente.

Aprobar un IOC importado

Los IOCs importados de fuentes externas requieren un paso previo antes de poder utilizarse en las búsquedas. Este paso es necesario para comprobar que realmente el IOC subido es interpretado por Advanced EPDR de forma correcta, ya que no todas las entidades soportadas por la especificación STIX 2.x se tienen en cuenta a la hora de realizar una búsqueda.

Una vez importado el IOC, sigue los pasos mostrados a continuación:

  • Si el IOC no ha sido aprobado mostrara el mensaje (Pendiente de aprobación) en la columna Tipo del listado.

  • Haz clic en el IOC a aprobar. Se mostrará la ventana de Editar IOC.

  • Si existe alguna regla del IOC que no pueda ser interpretada por Advanced EPDR se mostrará un recuadro en rojo indicado la situación. Los datos mostrados en la ventana de edición se corresponderán a las secciones del IOC que son correctamente interpretadas por Advanced EPDR.

  • Si las reglas mostradas son correctas, haz clic en el botón Aprobar sentencia de búsqueda y guardar para poder utilizar el IOC en las búsquedas.

Advanced EPDR solo elimina reglas en un IOC importado al ejecutar búsquedas. El IOC sin embargo se almacenará de forma íntegra en el servidor de Cytomic y se podrán ver sus entidades y relaciones así como el código fuente original.

Exportar un único IOC

  • En el listado de IOCs haz clic en el icono asociado al IOC a exportar. Se mostrará un menú desplegable.

  • Selecciona la opción Exportar. Se descargará en el equipo del administrador un fichero JSON con la definición del IOC.

Exportar uno o varios IOCs

  • Haz clic en las casillas de selección de los IOCs a exportar en el listado de IOCs.

  • Haz clic en la opción Exportar de la barra de herramientas. Se descargará un único archivo json con la definición de todos los IOCs seleccionados.