收集 Recorded Future IOC 記錄

支援的國家/地區:

本文說明如何使用 API,將 Recorded Future IOC 記錄擷取至 Google Security Operations。剖析器會將 JSON 格式的資料轉換為統一資料模型 (UDM)。這項功能會擷取 IOC 詳細資料、將這些資料對應至 UDM 欄位、根據嚴重程度分類威脅,並以時間戳記和供應商資訊擴充資料。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Recorded Future Enterprise 帳戶的特殊權限

取得 Recorded Future API 權杖

  1. 登入 Recorded Future
  2. 按一下右上角的顯示圖片,然後選取「使用者設定」
  3. 在導覽選單中,按一下「API 存取權」
  4. 按一下「Generate New API Token」(產生新的 API 權杖)
  5. 複製顯示的長字串 (例如 RF-1234567890abcdef...)。
    • 您可以建立多個金鑰,並提供描述性名稱,例如「Google SecOps」
  6. 複製權杖並儲存在安全的位置。API 權杖不會再次顯示。

設定動態饋給

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「+ 新增動態消息」
  3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Recorded Future IOC)。
  4. 選取「第三方 API」做為「來源類型」
  5. 選取「Recorded Future」記錄類型。
  6. 點選「下一步」
  7. 指定下列輸入參數的值:
    • 驗證 HTTP 標頭
      • X-RFToken:<your-api_key>
      • 請務必將 <your-api_key> 替換成上一個步驟中複製的實際金鑰。
    • 資產命名空間資產命名空間
    • 擷取標籤:套用至這個動態饋給事件的標籤。
  8. 點選「下一步」
  9. 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」

UDM 對應表

記錄欄位 UDM 對應 邏輯
Details.EvidenceDetails.Criticality
Details.EvidenceDetails.CriticalityLabel
Details.EvidenceDetails.EvidenceString ioc.description 「EvidenceString」欄位的值會對應至這個欄位。
Details.EvidenceDetails.EvidenceString entity.metadata.threat.description 「EvidenceString」欄位的值會對應至這個欄位。
Details.EvidenceDetails.MitigationString
Details.EvidenceDetails.Rule ioc.categorization 「規則」欄位的值會對應至這個欄位。
Details.EvidenceDetails.Rule entity.metadata.threat.rule_name 「規則」欄位的值會對應至這個欄位。
Details.EvidenceDetails.Timestamp
風險 ioc.confidence_score 「風險」欄位的值會轉換為字串,並對應至這個欄位。
風險 entity.metadata.threat.severity_details 「風險」欄位的值會與「風險 - 」字串串連,並對應至這個欄位。
entity.entity.hostname 如果「Value」欄位是網域名稱,系統會將其對應至這個欄位。
ioc.domain_and_ports.domain 如果「Value」欄位是網域名稱,系統會將其對應至這個欄位。
ioc.ip_and_ports.ip_address 如果「值」欄位是 IP 位址,系統會將其對應至這個欄位。
entity.entity.ip 系統會將「值」欄位的值剖析為 IP 位址,並對應至這個欄位。
ioc.feed_name 這個欄位的值為「Recorded Future IOC」。
ioc.raw_severity 這個值是透過串連「風險」欄位和「嚴重程度標籤」欄位 (以半形冒號分隔) 所產生。
entity.metadata.collected_timestamp 系統會將「Details.EvidenceDetails.Timestamp」欄位的值剖析為 ISO8601 時間戳記,並對應至這個欄位。
entity.metadata.entity_type 如果「Value」欄位是網域名稱,值會設為「DOMAIN_NAME」;如果是 IP 位址,值會設為「IP_ADDRESS」。
entity.metadata.interval.end_time 這個欄位的值為「253402300799」(代表時間戳記最大值)。
entity.metadata.interval.start_time 系統會將「Details.EvidenceDetails.Timestamp」欄位的值剖析為 ISO8601 時間戳記,並對應至這個欄位。
entity.metadata.threat.category 系統會根據「CriticalityLabel」欄位判斷值:「Malicious」會對應至「SOFTWARE_MALICIOUS」,「Suspicious」會對應至「SOFTWARE_SUSPICIOUS」,其他值則會對應至「UNKNOWN_CATEGORY」。
entity.metadata.threat.category_details 這個值是透過串連「嚴重程度 - 」、「嚴重程度」、「:」和「嚴重程度標籤」字串,以及輸入資料中的對應值產生。
entity.metadata.threat.severity 系統會根據「CriticalityLabel」欄位判斷值:「Malicious」會對應至「HIGH」,「Suspicious」會對應至「MEDIUM」,其他值則會對應至「LOW」。
entity.metadata.threat.threat_feed_name 這個欄位的值為「Recorded Future IOC」。
entity.metadata.vendor_name 這個欄位會指派「RECORDED_FUTURE_IOC」值。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。