Diese Seite wurde von der Cloud Translation API übersetzt.

ThreatConnect-IOC-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser extrahiert IOC-Daten aus ThreatConnect-JSON-Logs und wandelt sie in das UDM-Format um. Es werden verschiedene IOC-Typen wie Host, Adresse, Datei und URL verarbeitet. Felder wie Konfidenzwerte, Beschreibungen und Entitätsdetails werden den entsprechenden UDM-Entsprechungen zugeordnet und Bedrohungen werden anhand von Keywords in den Protokolldaten kategorisiert.

Hinweise

Sie benötigen eine Google Security Operations-Instanz.
Sie benötigen erhöhte Zugriffsrechte für ThreatConnect.

API-Nutzer in ThreatConnect konfigurieren

Melden Sie sich in ThreatConnect an.
Gehen Sie zu Einstellungen > Organisationseinstellungen.
Rufen Sie in den Organisationseinstellungen den Tab Mitgliedschaft auf.
Klicken Sie auf API-Nutzer erstellen.
Füllen Sie die Felder im Fenster „API-Nutzerverwaltung“ aus:
- Vorname: Geben Sie den Vornamen des API-Nutzers ein.
- Nachname: Geben Sie den Nachnamen des API-Nutzers ein.
- Systemrolle: Wählen Sie die Systemrolle Api-Nutzer oder Exchange-Administrator aus.
Hinweis: Folgende Systemrollen sind für API-Nutzer verfügbar:
Api-Nutzer: API-Nutzer mit dieser Rolle können alle ThreatConnect-API-Endpunkte der Version 2 und 3 verwenden, mit Ausnahme der TC Exchange™-Verwaltungsendpunkte der API-Version 3.
Exchange-Administrator: API-Nutzer mit dieser Rolle können alle ThreatConnect-API-Endpunkte der Version 2 und 3 verwenden, einschließlich des v3-AP.
- Organisationsrolle: Wählen Sie die Organisationsrolle des API-Nutzers aus.
- In Beobachtungen und False Positives einbeziehen: Klicken Sie das Kästchen an, damit Daten, die vom API-Nutzer bereitgestellt werden, in die Anzahl der Beobachtungen und False Positives einbezogen werden.
- Deaktiviert: Klicken Sie auf das Kästchen, um das Konto eines API-Nutzers zu deaktivieren, wenn der Administrator die Protokollintegrität beibehalten möchte.
- Kopieren und speichern Sie die Zugriffs-ID und den geheimen Schlüssel.
Klicken Sie auf Speichern.

Feed in Google SecOps für die Aufnahme von ThreatConnect-Protokollen konfigurieren

Gehen Sie zu SIEM-Einstellungen > Feeds.
Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. ThreatConnect-Protokolle.
Wählen Sie Drittanbieter-API als Quelltyp aus.
Wählen Sie ThreatConnect als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Nutzername: Geben Sie die ThreatConnect-Zugriffs-ID ein, mit der Sie sich authentifizieren möchten.
- Secret: Geben Sie den ThreatConnect-Secret-Schlüssel für den angegebenen Nutzer ein.
- API-Hostname: Voll qualifizierter Domainname (Fully Qualified Domain Name, FQDN) Ihrer ThreatConnect-Instanz, z. B. <myinstance>.threatconnect.com.
- Owners: Alle Namen der Inhaber, die eine Sammlung von IOCs identifizieren.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
Klicken Sie auf Weiter.
Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten