收集 Recorded Future IOC 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 API 将 Recorded Future IOC 日志注入到 Google Security Operations。解析器会将 JSON 格式的数据转换为统一数据模型 (UDM)。它会提取 IOC 详细信息,将其映射到 UDM 字段,根据严重程度对威胁进行分类,并使用时间戳和供应商信息丰富数据。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- 对 Recorded Future Enterprise 账号的特权访问权限
获取 Recorded Future API 令牌
- 登录 Recorded Future。
- 点击右上角的头像,然后选择用户设置。
- 在导航菜单中,点击 API 访问权限。
- 点击 Generate New API Token(生成新的 API 令牌)。
- 复制显示的长字符串(例如
RF-1234567890abcdef...)。- 您可以创建多个密钥;提供一个描述性名称,例如 Google SecOps。
- 复制令牌并将其保存在安全的位置。系统不会再显示该 API 令牌。
设置 Feed
- 依次前往 SIEM 设置> Feed。
- 点击 + 添加新 Feed。
- 在Feed 名称字段中,输入 Feed 的名称(例如
Recorded Future IOC)。 - 选择第三方 API 作为来源类型。
- 选择 Recorded Future 日志类型。
- 点击下一步。
- 为以下输入参数指定值:
- 身份验证 HTTP 标头
X-RFToken:<your-api_key>- 请务必将
<your-api_key>替换为在上一步中复制的实际密钥。
- 资产命名空间:资产命名空间。
- 注入标签:应用于此 Feed 中事件的标签。
- 身份验证 HTTP 标头
- 点击下一步。
- 在最终确定界面中检查 Feed 配置,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| Details.EvidenceDetails.Criticality | ||
| Details.EvidenceDetails.CriticalityLabel | ||
| Details.EvidenceDetails.EvidenceString | ioc.description | “EvidenceString”字段的值会映射到此字段。 |
| Details.EvidenceDetails.EvidenceString | entity.metadata.threat.description | “EvidenceString”字段的值会映射到此字段。 |
| Details.EvidenceDetails.MitigationString | ||
| Details.EvidenceDetails.Rule | ioc.categorization | “Rule”字段的值会映射到此字段。 |
| Details.EvidenceDetails.Rule | entity.metadata.threat.rule_name | “Rule”字段的值会映射到此字段。 |
| Details.EvidenceDetails.Timestamp | ||
| 风险 | ioc.confidence_score | “风险”字段的值会转换为字符串并映射到此字段。 |
| 风险 | entity.metadata.threat.severity_details | “风险”字段的值与字符串“风险 - ”串联,并映射到此字段。 |
| 值 | entity.entity.hostname | 如果“值”字段是域名,则会映射到此字段。 |
| 值 | ioc.domain_and_ports.domain | 如果“值”字段是域名,则会映射到此字段。 |
| 值 | ioc.ip_and_ports.ip_address | 如果“值”字段是 IP 地址,则会映射到此字段。 |
| entity.entity.ip | “值”字段的值会解析为 IP 地址并映射到此字段。 | |
| ioc.feed_name | 系统会为此字段分配值“Recorded Future IOC”。 | |
| ioc.raw_severity | 该值是通过将“风险”字段与“严重程度标签”字段(以英文冒号分隔)串联而生成的。 | |
| entity.metadata.collected_timestamp | “Details.EvidenceDetails.Timestamp”字段的值会被解析为 ISO8601 时间戳并映射到此字段。 | |
| entity.metadata.entity_type | 如果“值”字段是域名,则该值设置为“DOMAIN_NAME”;如果该字段是 IP 地址,则该值设置为“IP_ADDRESS”。 | |
| entity.metadata.interval.end_time | 系统会为该字段分配值“253402300799”(表示最大时间戳值)。 | |
| entity.metadata.interval.start_time | “Details.EvidenceDetails.Timestamp”字段的值会被解析为 ISO8601 时间戳并映射到此字段。 | |
| entity.metadata.threat.category | 该值根据“CriticalityLabel”字段确定:“Malicious”映射到“SOFTWARE_MALICIOUS”,“Suspicious”映射到“SOFTWARE_SUSPICIOUS”,任何其他值都映射到“UNKNOWN_CATEGORY”。 | |
| entity.metadata.threat.category_details | 该值是通过将字符串“Criticality -”“Criticality”“:”和“CriticalityLabel”与输入数据中的相应值串联而生成的。 | |
| entity.metadata.threat.severity | 该值根据“CriticalityLabel”字段确定:“Malicious”映射到“HIGH”,“Suspicious”映射到“MEDIUM”,任何其他值都映射到“LOW”。 | |
| entity.metadata.threat.threat_feed_name | 系统会为此字段分配值“Recorded Future IOC”。 | |
| entity.metadata.vendor_name | 系统会为此字段分配值“RECORDED_FUTURE_IOC”。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。