收集 Anomali ThreatStream IOC 記錄

支援的國家/地區:

本文說明如何使用 API,將 Anomali ThreatStream IOC 記錄擷取至 Google Security Operations。剖析器會將 JSON 或 CEF 格式的 IOC 資料轉換為統一資料模型 (UDM)。程式碼會先嘗試將輸入內容剖析為 JSON,如果失敗,則會檢查「CEF:」前置字元,將輸入內容處理為 CEF 訊息,並擷取 IOC 屬性,然後將這些屬性對應至 UDM 欄位。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Anomali ThreatStream 企業租戶的特殊存取權

建立專屬 API 使用者

  1. 登入 ThreatStream。如果您使用 Anomali Enterprise,請切換至傳統版 UI
  2. 依序前往「管理」> 使用者」
  3. 按一下「+ Add User」(新增使用者) (或選取現有服務帳戶)。
  4. 填妥下列詳細資料:
    • 電子郵件:服務帳戶電子郵件地址 (例如 anomali_ioc_secops@example.com)。
    • 驗證來源:選取「標準」
    • 使用者類型:選取「API 使用者」
    • 角色:選取「唯讀」 (足以列出指標)。
  5. 按一下 [儲存]
  6. 系統會將啟用電子郵件傳送至新帳戶,請完成啟用程序。

產生 API 金鑰

  1. API 使用者身分登入 ThreatStream
  2. 依序前往「個人資料虛擬人偶」>「My API Keys」
  3. 按一下「產生新金鑰」
  4. 輸入「說明」 (例如Google SecOps export)。
  5. 按一下 [儲存]
  6. 複製並儲存「金鑰」下方顯示的金鑰值,系統不會再次顯示金鑰值。
  1. 依序前往「管理」>「機構組織設定」。
  2. 選取「IP 允許清單」分頁標籤。
  3. 按一下「+ 新增」
  4. 輸入 Google SecOps 租戶地址,然後按一下「儲存」

設定動態饋給

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增」
  3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Anomali TS IOC)。
  4. 選取「第三方 API」做為「來源類型」
  5. 選取「Anomali」記錄類型。
  6. 點選「下一步」
  7. 指定下列輸入參數的值:
    • 使用者名稱:輸入新建立的 API 使用者。
    • 密碼:輸入先前複製的產生 API 金鑰
    • 資產命名空間資產命名空間
    • 擷取標籤:套用至這個動態饋給事件的標籤。
  8. 點選「下一步」
  9. 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」

UDM 對應表

記錄欄位 UDM 對應 邏輯
obj.asn entity.administrative_domain 原始記錄中的 asn 欄位會對應至 UDM 實體物件中的 administrative_domain 欄位。
obj.confidence ioc.confidence_score 原始記錄中的信心度欄位會對應至 UDM ioc 物件中的 confidence_score 欄位。
obj.country entity.location.country_or_region 原始記錄中的國家/地區欄位會對應至 UDM 實體物件中的 country_or_region 欄位。
obj.created_ts entity.metadata.creation_timestamp 原始記錄中的 created_ts 欄位會對應至 UDM 實體物件中的 creation_timestamp 欄位。
obj.created_ts ioc.active_timerange.start 原始記錄中的 created_ts 欄位會對應至 UDM ioc 物件中的 start 欄位。
obj.created_ts entity.metadata.threat.first_discovered_time 原始記錄中的 created_ts 欄位會對應至 UDM 威脅物件中的 first_discovered_time 欄位。
obj.expiration_ts entity.metadata.interval.end_time 原始記錄中的 expiration_ts 欄位會對應至 UDM 實體物件中的 end_time 欄位。
obj.expiration_ts ioc.active_timerange.end 原始記錄中的 expiration_ts 欄位會對應至 UDM ioc 物件中的 end 欄位。
obj.id entity.metadata.product_entity_id 原始記錄中的 ID 欄位會對應至 UDM 實體物件中的 product_entity_id 欄位。
obj.ip entity.entity.ip 原始記錄中的 IP 欄位會合併至 UDM 實體物件中的 IP 欄位。
obj.ip ioc.ip_and_ports.ip_address 原始記錄中的 ip 欄位會對應至 UDM ioc 物件中的 ip_address 欄位。
obj.itype ioc.categorization 原始記錄中的 itype 欄位會對應至 UDM ioc 物件中的分類欄位。
obj.itype entity.metadata.threat.category_details 原始記錄中的 itype 欄位會合併至 UDM 威脅物件中的 category_details 欄位。
obj.latitude entity.entity.location.region_latitude 原始記錄中的緯度欄位會對應至 UDM 實體物件中的 region_latitude 欄位。
obj.longitude entity.entity.location.region_longitude 原始記錄中的經度欄位會對應至 UDM 實體物件中的 region_longitude 欄位。
obj.meta.detail2 ioc.description 原始記錄中的 detail2 欄位會對應至 UDM ioc 物件中的說明欄位。
obj.meta.detail2 entity.metadata.threat.description 原始記錄中的 detail2 欄位會對應至 UDM 威脅物件中的說明欄位。
obj.meta.severity ioc.raw_severity 原始記錄中的嚴重性欄位會對應至 UDM ioc 物件中的 raw_severity 欄位。
obj.meta.severity entity.metadata.threat.severity 原始記錄中的嚴重性欄位會對應至 UDM 威脅物件中的嚴重性欄位。如果嚴重程度為「非常高」,則會對應至「重大」。
obj.meta.severity entity.metadata.threat.severity_details 原始記錄中的嚴重性欄位會對應至 UDM 威脅物件中的 severity_details 欄位。
obj.modified_ts entity.metadata.threat.last_updated_time 原始記錄中的 modified_ts 欄位會對應至 UDM 威脅物件中的 last_updated_time 欄位。
obj.org entity.entity.administrative_domain 原始記錄中的 org 欄位會對應至 UDM 實體物件中的 administrative_domain 欄位。
obj.resource_uri entity.metadata.threat.url_back_to_product 原始記錄中的 resource_uri 欄位會對應至 UDM 威脅物件中的 url_back_to_product 欄位。
obj.retina_confidence entity.metadata.threat.confidence_score 原始記錄中的 retina_confidence 欄位會對應至 UDM 威脅物件中的 confidence_score 欄位。
obj.source ioc.feed_name 原始記錄中的來源欄位會對應至 UDM ioc 物件中的 feed_name 欄位。
obj.source entity.metadata.threat.threat_name 原始記錄中的來源欄位會對應至 UDM 威脅物件中的 threat_name 欄位。
obj.status entity.metadata.threat.threat_status 原始記錄中的狀態欄位會對應至 UDM 威脅物件中的 threat_status 欄位。
obj.subtype entity.entity.file.sha1 如果子類型為「SHA1」,原始記錄中的子類型欄位會對應至 UDM 實體物件中的 sha1 欄位。
obj.subtype entity.entity.file.sha256 如果子類型為「SHA256」,原始記錄中的子類型欄位會對應至 UDM 實體物件中的 sha256 欄位。
obj.tags entity.metadata.source_labels 原始記錄中的標記欄位會對應至 UDM 實體物件中的 source_labels 欄位。
obj.tags.id entity.metadata.source_labels 原始記錄的標記陣列中的 ID 欄位,會對應至 UDM 實體物件中的 source_labels 欄位。
obj.tags.name entity.metadata.source_labels 原始記錄的標記陣列中的名稱欄位,會對應至 UDM 實體物件中的 source_labels 欄位。
obj.threatscore entity.metadata.threat.risk_score 原始記錄中的 threatscore 欄位會對應至 UDM 威脅物件中的 risk_score 欄位。
obj.threat_type entity.metadata.threat.detection_fields 原始記錄中的 threat_type 欄位會對應至 UDM 威脅物件中的 detection_fields 欄位。
obj.type entity.entity.file.md5 如果類型為「md5」,原始記錄中的類型欄位會對應至 UDM 實體物件中的 md5 欄位。
obj.type entity.entity.hostname 如果類型為「網域」,原始記錄中的「類型」欄位會對應至 UDM 實體物件中的「主機名稱」欄位。
obj.type entity.entity.ip 如果類型為「ip」或「ipv6」,原始記錄中的類型欄位會合併至 UDM 實體物件中的 ip 欄位。
obj.type entity.entity.url 如果類型為「url」或「string」,原始記錄中的類型欄位會對應至 UDM 實體物件中的網址欄位。
obj.type entity.entity.user.email_addresses 如果類型為「email」,原始記錄中的類型欄位會合併至 UDM 實體物件中的 email_addresses 欄位。
obj.type entity.metadata.entity_type 原始記錄中的 type 欄位會對應至 UDM 實體物件中的 entity_type 欄位。如果類型為「ip」或「ipv6」,則會對應至「IP_ADDRESS」。如果類型為「網域」,則會對應至「DOMAIN_NAME」。如果類型為「md5」或 itype 欄位包含「md5」,則會對應至「FILE」。如果類型為「url」或「string」,則會對應至「URL」。如果類型為「電子郵件」,則會對應至「USER」。否則會對應至「UNKNOWN_ENTITYTYPE」。
obj.uuid entity.additional.fields 原始記錄中的 uuid 欄位會對應至 UDM 實體物件中的 fields 欄位。
obj.value entity.entity.ip 如果類型欄位為「ip」,且 IP 欄位為空白,則原始記錄中的值欄位會合併至 UDM 實體物件中的 IP 欄位。
obj.value entity.entity.ip 如果 ip_field_not_exists 欄位為 true,且 value 欄位是 IP 位址,則原始記錄中的 value 欄位會合併至 UDM 實體物件中的 ip 欄位。
obj.value entity.entity.url 如果類型欄位為「url」或「string」,原始記錄中的值欄位會對應至 UDM 實體物件中的 url 欄位。
obj.value ioc.domain_and_ports.domain 如果類型欄位不是「ip」,原始記錄中的值欄位會對應至 UDM ioc 物件中的網域欄位。
obj.value ioc.ip_and_ports.ip_address 如果類型欄位為「ip」,且 IP 欄位為空白,則原始記錄中的值欄位會對應至 UDM ioc 物件中的 ip_address 欄位。
cn1 ioc.confidence_score 原始記錄中的 cn1 欄位會對應至 UDM ioc 物件中的 confidence_score 欄位。
cn2 entity.metadata.threat.rule_id 原始記錄中的 cn2 欄位會對應至 UDM 威脅物件中的 rule_id 欄位。
cs1 ioc.raw_severity 原始記錄中的 cs1 欄位會對應至 UDM ioc 物件中的 raw_severity 欄位。
cs2 entity.metadata.threat.threat_name 原始記錄中的 cs2 欄位會對應至 UDM 威脅物件中的 threat_name 欄位。
cs3 entity.metadata.threat.threat_status 原始記錄中的 cs3 欄位會對應至 UDM 威脅物件中的 threat_status 欄位。如果 cs3 欄位為「active」,則會對應至「ACTIVE」。如果 cs3 欄位為「已清除」,則會對應至「CLEARED」。如果 cs3 欄位為「falsePositive」或「falsepos」,則會對應至「FALSE_POSITIVE」。如果 cs3 欄位為「threat_status_unspecified」,則會對應至「THREAT_STATUS_UNSPECIFIED」。
cs4 entity.entity.administrative_domain 原始記錄中的 cs4 欄位會對應至 UDM 實體物件中的 administrative_domain 欄位。
cs5 ioc.description 原始記錄中的 cs5 欄位會對應至 UDM ioc 物件中的說明欄位。
cs5 entity.metadata.threat.detection_fields 原始記錄中的 cs5 欄位會對應至 UDM 威脅物件中的 detection_fields 欄位。
cs5 entity.metadata.threat.description 原始記錄中的 cs5 欄位會對應至 UDM 威脅物件中的說明欄位。
cs6 entity.metadata.threat.category_details 原始記錄中的 cs6 欄位會合併至 UDM 威脅物件中的 category_details 欄位。
device_product entity.metadata.product_name 原始記錄中的 device_product 欄位會對應至 UDM 實體物件中的 product_name 欄位。
device_vendor entity.metadata.vendor_name 原始記錄中的 device_vendor 欄位會對應至 UDM 實體物件中的 vendor_name 欄位。
device_version entity.metadata.product_version 原始記錄中的 device_version 欄位會對應至 UDM 實體物件中的 product_version 欄位。
msg entity.metadata.threat.summary 原始記錄中的 msg 欄位會對應至 UDM 威脅物件中的摘要欄位。
shost entity.entity.hostname 原始記錄中的 shost 欄位會對應至 UDM 實體物件中的主機名稱欄位。
shost entity.entity.url 原始記錄中的 shost 欄位會對應至 UDM 實體物件中的 url 欄位。
shost ioc.domain_and_ports.domain 原始記錄中的 shost 欄位會對應至 UDM ioc 物件中的網域欄位。
src entity.entity.ip 原始記錄中的 src 欄位會合併至 UDM 實體物件中的 ip 欄位。
src ioc.ip_and_ports.ip_address 原始記錄中的 src 欄位會對應至 UDM ioc 物件中的 ip_address 欄位。
entity.metadata.threat.confidence HIGH_CONFIDENCE 如果 confidence_score 欄位大於或等於 75,UDM 威脅物件中的信賴度欄位會設為「HIGH_CONFIDENCE」。
entity.metadata.threat.confidence LOW_CONFIDENCE 如果 confidence_score 欄位小於或等於 50,UDM 威脅物件中的信賴度欄位會設為「LOW_CONFIDENCE」。
entity.metadata.threat.confidence MEDIUM_CONFIDENCE 如果 confidence_score 欄位大於 50 且小於或等於 74,UDM 威脅物件中的信賴度欄位會設為「MEDIUM_CONFIDENCE」。
entity.metadata.threat.confidence UNKNOWN_CONFIDENCE 如果 confidence_score 欄位不是有效的整數,UDM 威脅物件中的信賴度欄位會設為「UNKNOWN_CONFIDENCE」。
entity.metadata.vendor_name ANOMALI_IOC UDM 實體物件中的 vendor_name 欄位會設為「ANOMALI_IOC」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。