如何向LogRhythm添加MISP提要？

Question

我安装了一个MISP服务器。然后，我使用REST端点从该服务器获取STIX提要。这部分似乎运转良好。然后我尝试将这个STIX提要添加到LogRhythms威胁情报服务管理器中。它告诉我，它是成功的，并且“测试”按钮返回一个积极的结果，但是我在列表的LogRhythms列表中看不到我的提要中的任何指示符。它们在哪里？哪张单子？我需要以某种方式创建列表吗？

Answer 1

我想通了。基本上，威胁情报管理器期望的版本类似于1.0.1，MISP提供的版本类似于1.1.1。无法调整MISP上的输出版本，也无法调整我所看到的威胁情报管理器上的输入版本。

最后，我编写了一个脚本，从REST中获取IoCs，解析该文件，并将IoCs存储在位于Program Files\LogRhythm\LogRhythm Job Manager\config\list_import的LogRhythm的提要导入文件夹中的文本文件中。然后，您需要在LogRhythm的控制台中添加列表，方法是转到列表管理器，并将列表配置为从Program Files\LogRhythm\LogRhythm Job Manager\config\list_import中的IoCs从文本文件中自动导入。