收集 Recorded Future IOC 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 API,將 Recorded Future IOC 記錄擷取至 Google Security Operations。剖析器會將 JSON 格式的資料轉換為統一資料模型 (UDM)。這項功能會擷取 IOC 詳細資料、將這些資料對應至 UDM 欄位、根據嚴重程度分類威脅,並以時間戳記和供應商資訊擴充資料。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Recorded Future Enterprise 帳戶的特殊權限
取得 Recorded Future API 權杖
- 登入 Recorded Future。
- 按一下右上角的顯示圖片,然後選取「使用者設定」。
- 在導覽選單中,按一下「API 存取權」。
- 按一下「Generate New API Token」(產生新的 API 權杖)。
- 複製顯示的長字串 (例如
RF-1234567890abcdef...)。- 您可以建立多個金鑰,並提供描述性名稱,例如「Google SecOps」。
- 複製權杖並儲存在安全的位置。API 權杖不會再次顯示。
設定動態饋給
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「+ 新增動態消息」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Recorded Future IOC)。 - 選取「第三方 API」做為「來源類型」。
- 選取「Recorded Future」記錄類型。
- 點選「下一步」。
- 指定下列輸入參數的值:
- 驗證 HTTP 標頭
X-RFToken:<your-api_key>- 請務必將
<your-api_key>替換成上一個步驟中複製的實際金鑰。
- 資產命名空間:資產命名空間。
- 擷取標籤:套用至這個動態饋給事件的標籤。
- 驗證 HTTP 標頭
- 點選「下一步」。
- 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| Details.EvidenceDetails.Criticality | ||
| Details.EvidenceDetails.CriticalityLabel | ||
| Details.EvidenceDetails.EvidenceString | ioc.description | 「EvidenceString」欄位的值會對應至這個欄位。 |
| Details.EvidenceDetails.EvidenceString | entity.metadata.threat.description | 「EvidenceString」欄位的值會對應至這個欄位。 |
| Details.EvidenceDetails.MitigationString | ||
| Details.EvidenceDetails.Rule | ioc.categorization | 「規則」欄位的值會對應至這個欄位。 |
| Details.EvidenceDetails.Rule | entity.metadata.threat.rule_name | 「規則」欄位的值會對應至這個欄位。 |
| Details.EvidenceDetails.Timestamp | ||
| 風險 | ioc.confidence_score | 「風險」欄位的值會轉換為字串,並對應至這個欄位。 |
| 風險 | entity.metadata.threat.severity_details | 「風險」欄位的值會與「風險 - 」字串串連,並對應至這個欄位。 |
| 值 | entity.entity.hostname | 如果「Value」欄位是網域名稱,系統會將其對應至這個欄位。 |
| 值 | ioc.domain_and_ports.domain | 如果「Value」欄位是網域名稱,系統會將其對應至這個欄位。 |
| 值 | ioc.ip_and_ports.ip_address | 如果「值」欄位是 IP 位址,系統會將其對應至這個欄位。 |
| entity.entity.ip | 系統會將「值」欄位的值剖析為 IP 位址,並對應至這個欄位。 | |
| ioc.feed_name | 這個欄位的值為「Recorded Future IOC」。 | |
| ioc.raw_severity | 這個值是透過串連「風險」欄位和「嚴重程度標籤」欄位 (以半形冒號分隔) 所產生。 | |
| entity.metadata.collected_timestamp | 系統會將「Details.EvidenceDetails.Timestamp」欄位的值剖析為 ISO8601 時間戳記,並對應至這個欄位。 | |
| entity.metadata.entity_type | 如果「Value」欄位是網域名稱,值會設為「DOMAIN_NAME」;如果是 IP 位址,值會設為「IP_ADDRESS」。 | |
| entity.metadata.interval.end_time | 這個欄位的值為「253402300799」(代表時間戳記最大值)。 | |
| entity.metadata.interval.start_time | 系統會將「Details.EvidenceDetails.Timestamp」欄位的值剖析為 ISO8601 時間戳記,並對應至這個欄位。 | |
| entity.metadata.threat.category | 系統會根據「CriticalityLabel」欄位判斷值:「Malicious」會對應至「SOFTWARE_MALICIOUS」,「Suspicious」會對應至「SOFTWARE_SUSPICIOUS」,其他值則會對應至「UNKNOWN_CATEGORY」。 | |
| entity.metadata.threat.category_details | 這個值是透過串連「嚴重程度 - 」、「嚴重程度」、「:」和「嚴重程度標籤」字串,以及輸入資料中的對應值產生。 | |
| entity.metadata.threat.severity | 系統會根據「CriticalityLabel」欄位判斷值:「Malicious」會對應至「HIGH」,「Suspicious」會對應至「MEDIUM」,其他值則會對應至「LOW」。 | |
| entity.metadata.threat.threat_feed_name | 這個欄位的值為「Recorded Future IOC」。 | |
| entity.metadata.vendor_name | 這個欄位會指派「RECORDED_FUTURE_IOC」值。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。