ThreatConnect IoC のログを収集する

このパーサーは、ThreatConnect JSON ログから IOC データを抽出し、UDM 形式に変換します。ホスト、アドレス、ファイル、URL などのさまざまな IOC タイプを処理し、信頼スコア、説明、エンティティの詳細などのフィールドを対応する UDM の同等のフィールドにマッピングします。また、ログデータ内のキーワードに基づいて脅威を分類します。

始める前に

• Google Security Operations インスタンスがあることを確認します。
• ThreatConnect への特権アクセス権があることを確認します。

ThreatConnect で API ユーザーを構成する

1. ThreatConnect にログインします。
2. [Settings] > [Org Settings] に移動します。
3. [Organization Settings] の [Membership] タブに移動します。
4. [Create API User] をクリックします。

5. [API User Administration] ウィンドウのフィールドに入力します。

   • First Name: API ユーザーの名を入力します。
   • Last Name: API ユーザーの姓を入力します。
   • System Role: [Api User] または [Exchange Admin] のシステムロールを選択します。
   • Organization Role: API ユーザーの組織ロールを選択します。
   • Include in Observations and False Positives: API ユーザーから提供されたデータをモニタリングと誤検出のカウントに含めるには、チェックボックスをオンにします。
   • Disabled: 管理者がログの完全性を保持する場合は、チェックボックスをオンにして API ユーザーのアカウントを無効にします。
   • [Access ID] と [Secret Key] の値をコピーして保存します。

6. [Save] をクリックします。

ThreatConnect ログを取り込むように Google SecOps でフィードを構成する

1. [SIEM 設定] > [フィード] に移動します。
2. [新しく追加] をクリックします。
3. [フィード名] フィールドに、フィードの名前を入力します（例: ThreatConnect ログ）。
4. [Source type] として [Third Party API] を選択します。
5. ログタイプとして [ThreatConnect] を選択します。
6. [次へ] をクリックします。
7. 次の入力パラメータの値を指定します。
   • ユーザー名: 認証に使用する ThreatConnect アクセス ID を入力します。
   • Secret: 指定したユーザーの ThreatConnect 秘密鍵を入力します。
   • API Hostname: ThreatConnect インスタンスの完全修飾ドメイン名（FQDN）（例: <myinstance>.threatconnect.com）。
   • Owners: すべてのオーナー名。オーナーは IOC のコレクションを識別します。
   • Asset namespace: アセットの名前空間。
   • Ingestion labels: このフィードのイベントに適用されるラベル。
8. [次へ] をクリックします。
9. [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。